oracle7

@Juan luis Lorsque le client se trouve comme tu dis sur le LAN distant coté serveur, il a effectivement une @IP "étrangère" ce qui masque sa réelle @IP de départ mais il n'empêche qu'à partir de là le reste de sa navigation n'est pas confidentielle. Par ailleurs, ce cas de figure suppose que le tunnel VPN est établit entre le routeur du client et le serveur VPN tiers situé je ne sais où (en fait si, on sait puisque que l'on choisit ce serveur au départ). Hors dans la discussion précédente il s'agit de sortir sur Internet de façon confidentielle à partir du serveur VPN installé sur le routeur du client et c'est là que je pense que cette façon de procéder n'est pas possible et qu'il faut obligatoirement passer par un serveur VPN Tiers externe. Cordialement oracle7😉

@TuringFan Oups je comprends que tu n'ai pas compris, désolé, je me suis effectivement mal exprimé. Dans le premier § quand je disais "le tunnel VPN n'est établit qu'entre le RT et le NAS" en fait c'est cela que je voulais dire : "le tunnel VPN n'est établit qu'entre le client via le RT et le NAS". La liaison VPN est bien comme cela : Client --> via RT --> NAS (support du serveur VPN). Dans le second § la liaison est bien : Client --> RT( support du serveur VPN) --- ........ --> Internet. Le NAS n'intervient pas. C'est plus clair maintenant ? J’édite mon post précédent dans ce sens pour ne pas perturber les autres lecteurs. Peux-tu aussi supprimer la citation à mon propos mal rédigé dans ta réponse précédente. Merci. Cordialement oracle7😉

@TuringFan Bonne question à laquelle je ne sais répondre, effectivement le tuto de Fenrir ne concerne pas ce type de configuration (VPN sur le RT directement). Là il faut l'avis d'un expert réseau/NAS ce qui ne manque pas sur ce forum. @DaffY, @Mic13710 au secours !! Vos avis SVP. Par ailleurs, ce que je ne comprends pas quand on active un VPN entre le client (via le Routeur) et le NAS support du seveur VPN (accessoirement c'est alors un tunnel parallèle à la liaison standard du réseau local qui se trouve établit, cette dernière étant "bypassée"), comment font alors certains qui disent accéder par ce VPN à Internet. En toute logique le tunnel VPN n'est établit qu'entre le client (via le RT) et le NAS. Si, en plus le NAS est derrière le RT dans le réseau local du RT, je ne vois pas comment il pourrait faire remonter ses paquets de données vers Internet. Là il faut m'expliquer ????? De plus, que je saches, c'est toujours le client qui initie la connexion VPN en s'adressant au serveur VPN et pas l'inverse, ou alors je n'ai rien compris. Donc, le client est sur le réseau local du routeur et le serveur VPN sur le routeur, lorsque le client établit la connexion VPN c'est entre lui et le routeur seulement. Ce que je ne sais pas dans ce cas lorsque cette liaison est établie si le client demande une URL sur Internet est-ce qu'il bénéficie alors du tunnel VPN jusqu'à cette URL voyant ainsi sa navigation vers cette URL "confidentialisée". Mais j'en doute fortement. Je crois que le tunnel VPN s'arrête au serveur VPN donc au RT et ensuite la liaison n'est plus sécurisée entre le RT et l'URL sur Internet. Ton avis STP, je délire ou pas ? Cordialement oracle7😉

@TuringFan Il faut suivre ce qu'a dit Fenrir : Donc , sur le parefeu du NAS : sur le parefeu du RT : rien sur le port 1701. Cordialement oracle7😉

@TuringFan Comme cela remplit ma boîte à bons points 😂😂😂 Pour moi, il faut les laisser actives dans le RT pour que le mécanisme de reverse proxy puisse fonctionner, sinon par ex pour le port 443, tu ne pourrais plus accéder de l'extérieur avec un simple "monsousdomaine.ndd.tld" et sûrement d'autres services qui utilisent ce port 443 seraient alors bloqués. C'est quand même le port de communication sécurisé par essence me semble-t-il. Non ? PS : Attention j'ai édité ma précédente réponse. Cordialement oracle7😉

@TuringFan Bonjour, Voilà comment j'ai organisé mes règles de transfert de ports sur le RT : Chez moi, après validation elles se retrouvent automatiquement (*) (je ne les ai pas créées manuellement dans le parefeu) dans le parefeu du RT "en grisé" telles que : (*) c'est d'ailleurs le cas de toutes les règles de transfert que j'ai créées dans l'onglet adéquat. Edit2 : pour la création automatique des règles de transfert dans le parefeu j'ai coché cela : Je ne comprends pas non plus pourquoi dans le parefeu tu as limité les ports 80 et 443 aux @IP sources de LE et aux ports source qui devraient être eux sur "Tous". De plus, le port 443 doit être séparé du port 80 (une règle chacun), LE n'en fait pas le même usage d'une part et d'autre part le port 80 n'est utilisé QUE lors du renouvellement du certificat LE, le reste du temps il est fermé, règle désactivée (sauf cas d'usages particuliers). Edit : idem dans le parefeu du NAS, sépares les règles sur ces ports. Par ailleurs, saches que les @IP 66.133.109.36 et 64.78.149.144 ne sont à priori plus opérationnelles. Elles l'ont été quelques années durant mais plus maintenant depuis le changement de politique de LE. Pour le renouvellement du certificat LE , tout semble passer par le port 443 seul selon certains ici. Dans l'attente de confirmation, il semble qu'il faille tout de même ouvrir le port 80 au moment du renouvellement. Cordialement oracle7😉 Cordialement

@alan.dub +1 😉

@Juan luis Ah bon ? Et que crois-tu que fasse l'application DSFile ? Cordialement oracle7😉

@Gibson ba oui ... mais commence avant par celui sur la sécurisation des accès, à moins que tu ne l'ai déjà fait ... Dans tous les cas, lis et relis bien ces tutos pour bien comprendre ce qu'il y a à faire avant de mettre les mains dans le cambouis ! Cordialement oracle7😉

@Gibson Donc, parfait, tu n'as plus qu'à suivre les Tutos DNS Serveur, Reverse Proxy sans oublier celui sur la Sécurisation des accès. Bonnes installations et n'hésites pas à revenir poser tes questions. Cordialement oracle7😉

@Gibson Bonjour, Peux-tu STP préciser ton souhait car pour moi accéder à distance au NAS, l'extérieur s'entend, c'est utiliser : un navigateur web : dans ce cas cela se complique quelque peu car il te faut un nom de domaine personnalisé (pris par ex chez OVH pour environ 10€/an), installer un serveur DNS sur le NAS et enfin paramétrer un reverse proxy sur le NAS pour accéder à tes fichiers via un simple "fichier.domaineperso.tld" tapé dans un navigateur web ou directement dans un explorateur WIN. ou par exemple utiliser l'application DSfile disponible sous Android (Mac je ne sais pas) pour accéder à tes fichiers mais là encore pour la connexion ce serait mieux d'utiliser un nom de domaine personnalisé. A moins que tu n'ai une @IP fixe ce qui simplifierait le problème. Cordialement oracle7😉

@Thierry94 Enregistrements MX pour serveurs de secours faits en corrigeant les priorités. Soit dit en passant, au début de nos échanges, mon domaine ndd.tld avait une priorité inférieure à celle des serveurs mail OVH. Du coup je comprends mieux pourquoi, tous les mails I/O restaient en fait chez OVH. Bien vu pour MailPLus Synoology sur Android, je viens d'installer et c'est nickel ! Cordialement oracle7😉

@Thierry94 Bonjour, Eh bien, c'est bien le paramètre "Activer la protection postscreen contre les spams" ou DNSBL, ce tu appelles chez toi la liste Blackhole, qui pose problème, je te le confirme. Penses-tu que cela mérite un ticket pour informer le support Synology de ce bug et/ou problème ? Pour le reste, je suis conforme à tes recommandations de réglages divers et effectivement cela fonctionne. J'hésite encore à rétablir les enregistrements MX pour les serveurs de secours OVH. Je vais peut-être prendre le risque ... Dans tous les cas, je te remercie encore vivement pour toute ta patience à bien vouloir m'aider pour résoudre cette installation. Merci aussi @Jcdusse44 pour ses pistes qu'il a indiquées. Ce qui est aussi parfait pour moi dans cette affaire, c'est qu'avec le reverse proxy, j'arrive à me connecté à distance à MailPlus pour consulter les mails avec un navigateur lambda sur n'importe quel type de périphérique en saisissant simplement "mail.ndd.tld". Par ailleurs en observant le contenu de ma zone DNS chez OVH je constate la présence de deux enregistrements CNAME : "imap.ndd.tld 0 CNAME ssl0.ovh.net." et "smtp.ndd.tld 0 CNAME ssl0.ovh.net." D'où ma question, ne faudrait-il pas les modifier en : "imap.ndd.tld 0 CNAME ndd.tld." et "smtp.ndd.tld 0 CNAME ndd.tld." ou bien je les laisses tels quels ??? Enfin, lorsque (sur le conseil de @Jcdusse44) je teste la boite mail "userNAS@ndd.tld" sur le site , j'ai en réponse une anomalie trouvée qui dit ceci : "[SPF] ndd.tld n'autorise pas votre serveur xxx.yyy.zzz.www à utiliser userNAS@ndd.tld" et en conséquence m'invite à modifier l'enregistrement SPF présent dans la zone DNS de OVH (pour y ajouter @IP du serveur xxx.yyy.zzz.www qui est en fait le serveur smtpXX.smtpout.orange.fr du moment avec XX variable donc une @IP variable). Faut-il finalement et comment éventuellement tenir compte de cette suggestion de https://www.mail-tester.com pour améliorer le score puisqu'en définitive l'@IP du serveur en question n'est jamais la même ? dilemme ... Cordialement oracle7😉

@Thierry94 Désolé pour le retard à te répondre, j'étais en train de reprendre la configuration selon tes conseils de ta précédentes réponse synthétique. De plus, installer un client sur le smartphone a été un peu galère, enfin je te passes les détails. Résultat : le relais SMTP ne fonctionne que pour smtp.orange.fr ou smtp.wanadoo.fr, avec le port 587 en TLS. Pour le client type Outlook sur smartphone ou PC, tes préconisations sont bonnes à part juste le chiffrement pour le serveur sortant qui n'est passé qu'en automatique uniquement. Au final, j’émets bien les mails vers orange et gmail et je reçois bien les mails émis par orange et gmail (avec une reception plus rapide pour ceux venant de gmail (va savoir pourquoi ?) Je ne crie pas victoire pour autant car lorsque j'ai recoché la case d'activation du moteur antiSpam, alors là, plus aucune réception de mails d'où qu'ils viennent. Je pense que c'est cela en fait qui me bloquait déjà la réception des mails lors de nos premiers échanges. Donc, maintenant que je sais que la configuration de MailPlus Server est par ailleurs bonne, il me faut trouver les bons réglages pour ce moteur antiSpam qui semble rejeter tous les mails qui arrivent sur le serveur mail du NAS. Aurais-tu par hasard une ou des idées ? Je préférerais tout de même pouvoir l'activer pour me protéger un tant soit peu ces ces pouriels. Sinon, énorme MERCI pour l'aide et les explications que tu as pris le temps de me fournir. Cordialement oracle7😉

@Thierry94 Je n'avais pas vu que tu avais compléter une de tes réponses précédentes. Je vais donc clarifier les choses quant à mon souhait et besoin. Tu vas aisément comprendre mon soucis de cloisonnement des boites mail. Aujourd'hui, j'ai une boite mail principale chez orange pour des usages strictement privés, que je souhaite conserver telle quel. J'ai aussi une autre boite mail gmail dite "poubelle" pour les usages notamment commerciaux et divers afin de ne pas polluer la messagerie rivée. Maintenant, pour des usages uniquement liés au NAS et aux données hébergées sur celui-ci, j'aurais aimé pouvoir configurer une boite mail sur le NAS et pouvoir y accéder de n'importe quel périphérique. D'où ma tentative de configuration de MailPLus Server et de MailPlus client (avec ce dernier au moins depuis un PC de mon réseau local, après on verra ...). J'ai aussi crée la boite mail chez OVH, croyant (peut-être à tord) qu'elle entrait dans la configuration de MailPlus Serveur et en fait finalement non. Si j'ai bien compris seuls les enregistrements MX liés aux serveurs mail d'OVH, sont nécessaires pour assurer le secours de la boite mail du NAS. Toujours si j'ai bien compris, ce qui porte à confusion dans tout cela c'est que pour que cette sauvegarde marche, l'@mail sur le NAS et l'@mail de la boite OVH doivent être identiques; c'est ce que tu semblais dire. J'ai bon dans cette analyse ? O/N ? Enfin à ce stade, seule la moitié du chemin est parcourue, je peux envoyer via le NAS à partir du PC local. Il reste à pouvoir recevoir des mails sur cette boite mail du NAS et les lire depuis le PC local, c'est cette réception qui bloque pour l'instant car les mails que j'envoie vers cette boite du NAS, n'arrivent pas. D'où nos échanges. Cordialement oracle7😉

@Thierry94 Je crains que OUI et là je suis plus que perdu et je ne voudrais pas abuser de ta patience à m'aider. Maintenant j'avais crée cette boite (offerte avec l'offre Smart10) pour (comme tu l'avais expliqué) ne pas perdre les mails au cas où mon serveur NAS serait indisponible. D'où aussi les lignes MX supplémentaires vers les serveurs mail OVH dans la zone DNS OVH. (voir la copie d'écran ci-avant). Du coup vis à vis de cela, je la garde ou je la supprime chez OVH ? Si je la supprime cela signifie qu'il faudrait aussi supprimer les sus-citées lignes MX et donc plus de sauvegarde des mails E/S durant l'indisponibilité du NAS. Nota : J'ai aussi rétabli la ligne MX dans la zone DNS du NAS "ndd.tld 3600 MX 10 mail.ndd.tld". Je n'avais pas vu de différence avec et sans. Cordialement oracle7😉 @Thierry94 Je viens de tester avec cette configuration de serveur SMTP : Cela ne marche pas chez moi. Les mails n'arrivent pas chez le destinataire. Je suis donc revenu à cette configuration là : Serveur : smtp.wanadoo.fr Port : 587 Pas de Connexion sécurisée TLS Authentification requise (mon compte et mot de passe orange) qui au moins me permet d'envoyer des mails à défaut de pouvoir en recevoir pour l'instant. Cordialement oracle7😉

@Thierry94 et @Jcdusse44 Manifestement, les mails que j'essaie d'envoyer vers "userNAS@ndd.tld" depuis mon client orange restent dans la boite chez OVH. Je reçois même l'AR chez le client orange. Cordialement oracle7😉

@Jcdusse44 Là je suis perdu 😪 J'ai bien configuré le relai SMTP pour l'envoi de mail sur le port 587 avec l'authentification de mon FAI orange. Mais pour la réception de mail, rien ne marche et je ne comprends pas.🤔 Dans MailPlus, dans les paramètres de l'utilisateur, il y a bien de quoi configurer une réception pop3 mais je ne sais pas quoi mettre comme serveur Pop3. Celui de chez OVH ? As-tu aussi configurer cela ? Cordialement oracle7😉

@Thierry94 OK, tu as raison, je les supprime. Pas d'autre idée par rapport au blocage par le serveur SMTP de mon FAI ? Cordialement oracle7😉

@TuringFan Merci à mon tour pour ces infos. Bon, je teste la chose mais maintenant sans grande conviction ... Cordialement oracle7😉

@Jcdusse44 Je viens de tester avec mail-tester.com. C'est pas bon (-4 rouge) dans le sens où mon message n'est pas signé DKIM, ni DMARC et où le serveur smtp de mon FAI n'autorise pas l'usage de mon @mail "userNas@ndd.tld". Cela dit aussi : Ce que nous avons retenu comme votre enregistrement SPF actuel est : v=spf1 include:mx.ovh.com ~all Cela devrait être changé en : v=spf1 include:mx.ovh.com ip4:@IP_du_serveur_SMTP_de_mon_FAI ~all Il faut corriger cela aussi chez OVH ? Je passe sur les autres points marqués en orange mais qui ne me sembles pas importants. Cordialement oracle7😉

@Thierry94 J'ai tout cela On est bien d'accord "1 enregistrement CNAME qui associe mail.ndd.fr à ndd.fr (si tu as utilisé mail.ndd.fr dans le nom d'hôte)" c'est chez OVH ? C'est fait Les ports 25, 110, 143, 465, 587, 993 et 955 sont : ouverts sur la box (qui est en DMZ) ouverts dans le parefeu sur le routeur et transmis vers le NAS dans le routeur. ouverts dans le parfeu du NAS DKIM et DMARC ne sont pas cochés dans MailPlus Server. Uniquement SPF est coché dans Authentification. Cordialement oracle7😉

@Jcdusse44 Bonjour, Oui, lorsque je réponds au mail envoyé par le NAS, mon client Outlook sous WIN10, je viens de trouver dans les Spam (???) un message "toto@ndd.tld : Recipient address rejected: User unknown". Donc le problème serait chez OVH ??? Cordialement oracle7😉 @Thierry94 Je viens d'éditer mon précédant message car une image (celle de la zone DNS OVH) s'était perdue en route (???). La copie d'écran dont tu parles dans ta réponse précédante, est celle de la Zone DNS du NAS. Cordialement oracle7😉

@TuringFan Juste une aparté avant de te répondre : regardes ce post qui devrait t'intéresser. C'est un échange sur la configuration de MailPlus Serveur que je croyais impossible sans avoir d'@IP fixe, alors qu'en fait il semble que l'on peut le faire aussi avec comme nous, une @IP dynamique. Pour l'instant, j'arrive à envoyer des mails depuis le NAS mais pas encore l'inverse. J'ai bon espoir toutefois. Si cela peut te rassurer, chez moi cela ne fonctionne plus non plus. Je croyais un moment avoir résolu le problème en décochant la fameuse case des passerelles multiples mais cela a marché pour une connexion ou deux, depuis impossible à reproduire. Donc je continue à chercher ... Il doit traîner autre chose ... En fait lors de la connexion au VPN, ton client "perd" son @IP du réseau où il est conecté au profit d'une @IP spécifique. C'est pourquoi tu vois par ex ton client en OpenVPN connecté avec une adresse en 10.8.0.x (avec x<>1). Avec le VPN actif ton NAS a lui alors l'@IP 10.8.01 et tout le traffic transite alors dans ce tunnel spécifique qui "bypass" la liaison standard "en clair". Ce mécanisme répond aussi à tes questions suivantes. Cordialement oracle7😉

@Thierry94 Merci pour la synthèse, c'est bien de préciser comme cela c'est bien clair. Cà j'ai et c'est opérationnel, preuve le revers proxy marche à merveille. Sur le NAS j'ai cela : Chez OVH j'ai cela : C'est fait, j'espère que c'est correct pour le paramétrage. C'est aussi fait sur ce point dans MailPlus Serveur mais cela ne fonctionne qu'en émission de mails, pas en réception. POur info, chez mon FAI, avec Outlook sous WIN10 j'utilise pour le courrier entrant, un serveur pop en ssl (d'où le pourquoi de ma question précédente). Je crois là que c'est bon à la vue de la copie d'écran de chez OVH. Donc, qu'est-ce qui peut coincer pour la réception des mails ? Sur ce coup là, je m'arrache les cheveux et déjà qu'il n'y en a plus beaucoup 🤪 Cordialement oracle7😉