Aller au contenu

oracle7

Membres
  • Compteur de contenus

    5559
  • Inscription

  • Dernière visite

  • Jours gagnés

    80

Tout ce qui a été posté par oracle7

  1. @Stegnot Bonjour, Je vois que tu as résolu ton problème, tant mieux, mais pour comprendre, quand tu avais la case "Activer un domaine personnalisé" cochée, le champ "domaine" était-il renseigné avec "newnas.domain.com" ou était-il vide ? Chez moi elle cochée et le champ est renseigné et je n'ai pas de problème pour accéder à mes 2 NAS dans les deux sens. A mon humble avis il ya autre chose chez toi qui bloque. Je maintiens qu'il n'est pas normal que tu n'obtiennes pas l'@IP de ton newbas quand tu ping celui-ci. Pour le Serveur DNS je penses que ce serait nécessaire car j'ai bien l'impression que ta box ne gère pas le loopback. Renseignes toi sur ce point pour confirmer ou non. Un autre truc bizarre eu y réfléchissant bien : tu utilises un nom de domaine en "domain.com" avec donc la zone DNS correspondante chez ton registar et à coté de cela tu utilises un DDNS avec un domaine en "xxxxx.synology.me". Du coup comment ton domaine en "domain.com" est-il mis à jour des changements de ton @IP externe (sachant quelle est a priori dynamique vu que tu utilises un DDNS) ? Dans ta zone DNS ton "domain.com" pointerait sur "xxxxx.synology.me" ? Y-a un truc pas clair et je ne comprends bien pas là. Enfin, attention pour l’agrégation de liens il faut que le switch en question le gère d'une part et ce n'est valable QUE sur le réseau local. Si tu comptes sortir comme cela sur Internet saches que tu ne peux doubler le débit que si tu as de chaque côté des 2 câbles un matériel qui agrège la connexion, donc il faut que la box gère cette agrégation de liens LACP (Link Aggregation Control Protocol) et en plus elle doit disposer de 2 @IP externes (rare sont ces équipements du moins dans le domaine public). Mais à mon avis ( je peux me tromper et alors oublies cet argumentaire) comme les ports de ta box sont en 1 GBits cela ne sert à rien d'agréger en aval : càd faire 1 + 1 GBits issus des NAS = 2 GBits en sortie du switch pour au final être bridé physiquement par le port 1 GBits de la box. Dans ce cas on ne fait que du Loadbalancing ce qui tout au mieux permet de répartir la charge et ce qui donne l'impression d'augmenter sensiblement le débit mais dans tous les cas, tu ne dépasseras jamais 1GB/s par liaison. Mais ce n'est que mon avis ... Cordialement oracle7😏
  2. @Stegnot C'est bien cela qui ne va pas, le nslookup devrait te ramener : @IPnewnas (soit une @IP locale à ton réseau) et pas "mon ip public". Tu me suis ? Tu confirmes que dans le reverse proxy du vieuxnas tu as bien une redirection du type : Source = https://newnas.domain.com vers Destination = http://@IPnewnas:5000 ? (avec @IPnewnas = 192.168.1.x par ex) Si oui alors là je sèche, je ne vois pas quel paramètre cloche ... Enfin, depuis un PC du réseau local si tu "ping" le newnas, il répond bien ? Cordialement oracle7😏
  3. @Stegnot On va regarder autre chose : Dans une fenêtre de CMD Windows en mode admin que donne "nslookup newnas.domain.com domain.com" ? est-ce bien l'@IP de newnas ? Cordialement oracle7😏
  4. @G38SMH Bon bah c'est super çà ... Content pour toi. Cordialement oracle7😏
  5. Bonjour, Après avoir réaliser avec @bruno78 l'automatisation du renouvellement du certificat "wilcard" LE sur le NAS, je souhaite dans le prolongement m'attaquer à celui de mon routeur RT2600ac en amont du NAS. Donc, j'ai "fouillé" (peut-être mal) les arcanes du RT via une connexion SSH sous "root", mais vous vous en doutez, je n'ai rien trouvé quand à savoir où étaient stockés les fameux fichiers du certificat que l'on peux charger/installer via l'interface SRM. J'ai lancé différentes recherches dans toute l'arborescence avec mon nom de domaine "ndd.tld", avec "*.pem" avec "*.key" mais rien en retour qui ne corresponde. Donc si quelqu'un connait la solution, d'avance merci à lui ... Cordialement oracle7😏
  6. @Stegnot Bonjour, Quelques questions pour mieux cerner les choses : Ton CNAME chez ton registar est du type : "newnas.domain.com vers domain.com" As-tu un DDNS ? Si oui domain.com pointe-t-il bien sur @IP externe de ta box/routeur ? As-tu un serveur DNS d'installé sur ton "vieux NAS" ? Si oui as-tu en ressources un enregistrement du type "newnas.domain.com A 86400 @ipVieuxNas" ou du type "newnas.domain.com CNAME 86400 ns.domain.com" Je suppose que "vieuxNas" et "newnas" sont sur le même réseau local ? Tout bêtement ta box/routeur c'est quoi ? Car si c'est une LiveBox, celle-ci ne gérant pas le loopback il faut installer un serveur DNS sur le "vieuxnas" pour que les résolutions de domaine fonctionnement. Cordialement oracle7😏
  7. @maxou56 OK merci de la précision. Cordialement oracle7😏
  8. @Stegnot Bonjour, Pas de souci et bienvenue à toi sur le forum Tu sélectionnes simplement le texte que tu souhaites citer et tu as un popup qui apparait alors à droite de la sélection, il ne reste plus qu'à cliquer dessus et cela insère la citation à la position courante du curseur dans ta réponse. Pour le http vers https, il est préférable d'utiliser un fichier ".htaccess" avec le package WebStation d'installé et je te renvoie au TUTO sur le reverse proxy qui explique bien cela. Après cela, cela devrait le faire ... Cordialement oracle7😏
  9. @maxou56 Bonjour, Merci. Je n'avais pas osé y aller directement en "root" et j'étais passé par mon Id d'administrateur. Du coup, la connexion avec comme Id "root" en direct cà marche. Je n'ai pas fait de "su root", j'aurais quand même dû ? car je ne vois pas de différence et j'arrive à naviguer quand même dans l'arborescence que ce soit avec PuTTY ou WinSCP. Cordialement oracle7😏
  10. @Stegnot Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Non il ne faut pas car cela casse le mécanisme du reverse proxy (voir le tuto reverse proxy). Non c'est vers http ipnewnas:5000 et pas vers https ipnewnas:5001 qu'il te faut pointer. A priori ce n'est pas utile, perso je n'ai pas renseigné cela. Tu veux dire à "newnas.domain.com" j'espère ... Sinon pour le reste cela semble bon. Cordialement oracle7😏
  11. oracle7

    Upgrade RAM + Cache SSD

    @Andrea Bonjour, En termes de SSD, peut-être que dans ce post tu trouveras des éléments de réponse. Je ne sais où tu as vu cela et peu importe, je fonctionne depuis plus de 3 ans comme cela avec mes 2 NAS et aucun problème à ce niveau. Par ailleurs, même en solicitant beaucoup les NAS avec des bases de données Oracle je n'ai pas eut de problèmes mes 12 Go étaient suffisants. Maintenant si tu peux mettre 16 Go tu auras de la marge même avec beaucoup d'applications, vidéos de surcroît. Pour le cache c'est soit une barrette en lecture soit 2 barettes pour L/E. Cordialement oracle7😏
  12. oracle7

    [Tuto] Reverse Proxy

    @TuringFan Bonjour, Attention si tu tapes 19456 au lieu de 49156 forcément cela ne peut pas le faire ! Par ailleurs dans "panneau de configuration / Portail des applications" onglet "Application" as-tu bien saisi 49156 pour Drive dans la colonne http ? C'est peut-être cela ton erreur ? l'onglet "Application" est aussi un proxy inversé il me semble. Cordialement oracle7😏
  13. Bonjour, Après avoir réaliser avec @bruno78 l'automatisation du renouvellement du certificat "wilcard" LE sur le NAS, je souhaite dans le prolongement m'attaquer à celui de mon routeur RT2600ac en amont du NAS. Donc, pour ce faire je souhaitais "fouiller" les arcanes du RT via une connexion SSH comme sur le NAS. Après avoir activer le service SSH sur le routeur et ouvert le port 22 dans le pare-feu, j'ai tenté une connexion via PuTTY. Saisie de mon Id d'administrateur puis du Mdp et en validant ce dernier : plantage de PuTTY. impossible donc de me connecter. Si quelqu'un à une idée, à moins qu'il y-ait un autre moyen d'explorer le cœur du routeur ? Cordialement oracle7
  14. @TuringFan Bonjour, Oui pour le port 80 sauf si tu utilises un application qui en a besoin du style site Web. Pour le port 443 ne perds pas ton temps à l'ouvrir ou à le fermer, laisses le ouvert tout simplement. Quel que part quand tout marche bien, je crois que moins on intervient sur le NAS mieux il s'en portera ... OUI, mais ce serait dommage de se priver de cette possibilité ... On en revient encore à mon argument précédent ... Bah en fait si, après chaque renouvellement, tu récupères les fichiers générés du certificat dans /volume1/Certs/ndd.tld - ndd.tld.key, ndd.tld.cer et l'intermédiaire ca.cer (pas les fichiers ".pem" issus d'un export depuis DSM !) et sans oublier de supprimer l'éventuel "saut de ligne" présent en début du fichier "ca.cer" avec un éditeur de texte et tu les importes dans le RT. C'est la seule contrainte, si on pouvait l'automatiser ce serait "the cherry on the cake" !😜 Il suffit simplement d'importer le fichier Python au bon endroit et de modifier la tâche périodique dans DSM comme indiqué dans le TUTO au §6, ensuite d'attendre le renouvellement. Si vraiment tu le souhaites, dans une session SSH tu peux effectuer un test avec l'option "-t" (voir tuto) mais il te dira sûrement que la date de renouvellement n'est pas atteinte. Donc rien à recommencer du début, c'est cool non ? Cordialement oracle7😏
  15. @kerod En quoi il gêne ? on est pas à l'abri d'avoir besoin de réinstaller acme.sh du coup cette suppression n'a pas été envisagée. Donc inutile d'en parler dans le TUTO. Cordialement oracle7😏
  16. @kerod Je ne suis pas convaincu car l'idée est aussi de ne pas "effrayé" les utilisateurs "lambda" avec les manipulations sous SSH avec tous les autres risques pour leur installation que cela recouvre en cas de fausse manip de leur part. Il n'y a qu'à observer certains posts ici pour s'en rendre compte. Il faut donc penser aussi à eux ... Cordialement oracle7😏
  17. @kerod OUI et quel intérêt d'avoir ce fichier lors d'un test ? l'affichage à l'écran de la trace n'est pas suffisante ? Cordialement oracle7😏
  18. @kerod Non, la description des options du script faite via le -h est à mon sens suffisante, il n'y a pas besoin d'en dire plus notamment pour des "initiés" auxquels ce mode manuel est plus particulièrement destiné. Les utilisateurs "lambda" eux, n'en n'ont pas l'utilité à partir du moments où ils suivent méthodiquement le TUTO avec l'utilisation standard du script Python. Cordialement
  19. @kerod Je ne suis pas spécialiste de Python mais de ce que je vois moi dans le script : ligne41 : le chemin vers le dossier Acme_renew est défini ligne 351 : le répertoire correspondant est effectivement créé avec un "os.makedirs" Ton post a été édité APRES que j'y ai accédé pour le consulter et il n' y avait pas encore les fautes en question, d'où ma remarque. Cordialement oracle7😏
  20. @kerod Tu as dû lire le tuto en "diagonale" car au § 10 en mode "manuel" dans une session SSH sous"root" tu peux lancer le script Python avec le paramètre "-t". Cordialement oracle7😏
  21. @kerod Bonjour, Tu peux préciser ta pensée STP ? "... utilisé par les scripts" les quels ? Si c'est mieux pour toi, nous on a préféré séparer les genres ... C'est plus propre informatiquement parlant. Méfies toi quand même en modifiant par toi même ce fichier, si tu est sûr de toi ... car il est géré par acme.sh et au final celui-ci pourrait ne plus y retrouver ses petits ! Donc ne viens par t'étonner des potentiels dysfonctionnement. C'est étonnant car lors des tests, je supprimais systématiquement ce fichier acmelog et il était récréé à chaque exécution soit en version que j’appellerai "light" soit en version très complète en cas de problème. Je n'ai jamais eut ton problème. Mais peut-être que cela vient de ton renommage de répertoires ??? si tu modifies les choses qui te sont proposées, il faut être cohérent jusqu'au bout et vérifier que cela n'aura pas d'impact ... A chaque création d'un certificat les fichiers relatifs à ce certificat sont archivés en interne par DSM dans un répertoire avec un nom "aléatoire" (pour toi cela a été "Yan5LF"). Belle assertion mais tu ne crois pas que ce serait mieux de les citer précisément et nous dire sur quoi elles portent. On ne peux pas les deviner et les corriger si elles sont effectivement avérées. Cordialement oracle7😏
  22. @giovanio Bonjour, Regarde ici cela devrait répondre à ton besoin. Cordialement oracle7😏
  23. @Pinpon_112 Bah oui, désolé pour toi mais force est de constater ( le message est clair) que tu as atteint la limite de duplication de certificat pour un même domaine "ndd.tld" fixée par LE à 5 cartouches par semaine. Regardes le lien fourni dans ton message d'erreur. Maintenant tu n'as pas d'autre choix que d'attendre une semaine ( donc pas avant Samedi 1er Août 2020 vers 16h00 minimum) pour pouvoir relancer la génération de ton certificat Je sais, cette limitation est une vraie plaie et il faut être parcimonieux dans la création de certificats. Maintenant tu peux quand même le faire mais pour un autre domaine et pas l'actuel. Cordialement oracle7😏
  24. @TuringFan Bonjour, Je crains que tu ne mélanges les notions. Rien de grave, je t'explique : Il faut laisser les ports 80 et 443 ouverts en permanence le temps d'un renouvellement d'un certificat LE créé à partir de l'interface DSM de ton NAS pour n'importe quel domaine "ndd.tld". Ceci est aussi valable pour les certificats sur les domaines "xxxxx.synology.me" parce que ces méthodes (implémentées par Synology dans les NAS) utilisent le protocole "HTTP-01" qui nécessite l'ouverture de ces ports pour les opérations de validation du certificat. Maintenant, le port 443 doit aussi être ouvert en permanence si tu utilises un reverse proxy sur ton NAS. Mais c'est une autre raison de son ouverture. Avec la méthode 'acme.sh" couplée aux API d'OVH on utilise la méthode de validation dite par DNS basée sur le protocole « DNS-01 ». Ce protocole présente l’avantage de ne pas avoir besoin d’ouvrir de ports lors de la création du certificat LE mais surtout lors de son renouvellement et là c’est le « plus » indéniable du point de vue sécurité qu’apporte cette méthode. J'explique cela dans le TUTO. Voilà le pourquoi du comment ... Cordialement oracle7😏
  25. @Einsteinium Bonjour, Ton assertion est trop synthétique pour ma petite tête. Désolé mais si toi tu te comprends, moi je ne comprends pas ce que tu veux dire. Peux-tu STP être plus explicite et détailler ... Pareil que ci-dessus, sachant que l'export de l’Id du user et de son password n'ont que la durée de vie de la session SSH. Je vois pas où est alors le problème ? Par ailleurs, pourquoi selon toi il faudrait remettre en cause les indications fournies sur Github (que j'ai cité en référence au passage dans mon TUTO) ici « Synology DSM deployhook » ? Qu'est que tu appelles un "config avec droit restreint" ???? Encore une fois soit plus explicite dans tes remarques, je veux bien les prendre en compte mais encore faut-il que je les comprenne. Cordialement oracle7😏
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.