oracle7

@adelac Bonjour, Quand tu te connectes en https avec une @IP tu aura toujours une alerte de sécurité de la part de ton navigateur Web qui lui cherche à contrôler qu'il y existe un certificat SSL valide pour autoriser la connexion. Or, un certificat SSL n'est JAMAIS défini pour un @IP mais seulement pour un domaine précis et ses sous-domaines associés. Si tu souhaites te connecter impérativement en https avec une @IP, il te faut accepter l'exception de sécurité sauf, comme te l'as dit précédemment @Kramlech, si tu as des utilisateurs malveillants chez toi aux quels tu ne peux pas faire confiance. Mais là c'est toi qui voit ... Bon bah grillé sur ce point par @Mic13710 .... Essaies simplement depuis un PC de ton réseau local de te connecter avec un nom de domaine à une application/service de ton NAS. Si cela passe c'est que ta box accepte le loopback. Sinon ta connexion échouera (si bien entendu tu n'as pas mis en place de zone DNS locale). Je te parle de dans "Portail de connexion/DSM", pour les autres cas que tu cites, sauf erreur de ma part, c'est autre chose et je crains que tu ne mélanges alors les fonctionnalités sur ce point. Cordialement oracle7😉

@LoisAlike Bonjour, Si besoin en est, il te faut bien comprendre deux choses : Avec NordVPN, ton NAS ou PC du réseau local n'est qu'un client VPN des serveurs VPN de NordVPN qui te permettent eux de "masquer" ton @IP externe réelle (celle de ta box) et de présenter à l'extérieur sur Internet une @IP tout autre dans le pays de ton choix. Tu communiques donc essentiellement dans le sens intérieur vers extérieur. Dans ce sens, tu ne peut pas atteindre ton Plex préféré (de toutes façons ton Plex est local et pas à l'extérieur) mais seulement que par une connexion locale. Avec le package VPN Serveur d'installé sur ton NAS, le serveur VPN est donc chez toi et tu te connectes à lui depuis l'extérieur (@IP quelconque sur Internet - Wifi McDo par ex) avec ton PC portable et/ou Tél 4G sur lequel est installé le client VPN (différent selon le protocole retenu : OpenVPN, L2TP/IpSec, etc ...). Tu communiques alors essentiellement dans le sens extérieur vers l'intérieur. Donc depuis l'extérieur tu atteins ton réseau local et tu navigues sur celui-ci comme si tu étais directement chez toi. Cette communication est entièrement protégée puisque tu es dans un tunnel étanche. Donc ton FAI par ex ne voit qu'un flux crypté de données circuler et pas plus. Du coup tu peux atteindre ton Plex préféré en toute sécurité pour visionner un film lorsque tu es par ex à l’hôtel durant un déplacement. De fait, pas besoin de configurer et donc d'utiliser de routes statiques. Cordialement oracle7😉

@LoisAlike Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Cordialement oracle7😉

@adelac Bonjour, Tu configures le Reverse Proxy (voir TUTO : Reverse Proxy) ayant pris soin de transférer (NAT) les ports 80 et 443 de la box vers le NAS et ouverts/autorisés ces mêmes ports dans le pare-feu du NAS. ATTENTION, dans Réseau/Paramètres de DSM : bien Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy. Ainsi tu pourras accéder à tes applications/services en local avec un sous-domaine en URL "alias.ndd.tld". La redirection (spécifique) vers le NAS ne doit pas utiliser en alias le nom du NAS mais autre chose (dsm.ndd.tld, nas.ndd.tld, toto.ndd.tld, etc ...) sinon elle ne fonctionnera pas ! Éventuellement si en plus ta box ne gère pas le loopback, tu peux compléter cela en configurant une zone DNS locale pour résoudre tes URL avec tes sous-domaines en @IP locales. Pour cela installer le package DNS Serveur sur ton NAS (voir TUTO : DNS Server). Cordialement oracle7😉

@adelac Bonjour, Désolé 🥴, je ne sais te répondre, mon second NAS n'étant pas exposé à Internet et réservé uniquement çà un usage en local, je ne me suis pas posé la question. De plus gérer la sécurité d'un NAS vis à vis de l'extérieur n'étant pas une mince affaire, alors deux ! 😜 Un autre membre saura peut-être. En tout cas je reste preneur de l'info. Cordialement oracle7😉

@MilesTEG1 Bonjour, C'est bien aussi cela le drame 🤣 il va falloir commencer sérieusement à réfléchir à comment passer sous InfluxDB v2.x (même si cela ne résout pas tout !) si on veux pouvoir continuer à monitorer en toute quiétude et de façon sécuritaire. Je vais de mon coté me pencher sur le sujet mais je crains fort que cela va être "hard" et sûrement pas instantané, je n'ai pas les compétences de @.Shad. sur ce sujet, mais bon avec un peu de curiosité et de patience pour assimiler ces nouvelles notions, j'espère bien y arriver 😛 Cordialement oracle7😉

@Helios77 Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Avec une telle expérience tes contributions seront sûrement appréciées. Cordialement oracle7😉

@CyberFr Bonjour, C'est bien cela le drame 🤣 Cordialement oracle7😉

@Helios77 Bonjour, Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Et STP réponds en dehors du bloc cité, une citation doit rester une citation. Merci. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@Helios77 Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Si avec ton PC depuis l'extérieur tu atteins bien le NAS de ton amie avec un nom de domaine en xxxx.synology.me ? Alors pour qu'elle puisse en faire de même depuis l'extérieur, il suffit de configurer ses PC portables à l'image de ce que tu as fait pour ton PC mais cette fois avec un nom de domaine en yyyy.synology.me. Logique, non ? Maintenant, il y a plus simple que de passer par RAID DRIVE pour se connecter depuis l'extérieur à un NAS : un simple Reverse Proxy (voir le TUTO : Reverse Proxy) installé sur le NAS avec un nom de domaine personnalisé ou en xxxx.synology suffit. Seuls les ports 80 et 443 ont besoins d'être transférés (NAT) de la box vers le NAS et ces mêmes ports doivent être ouvert/autorisés dans le pare-feu du NAS. Maintenant ce que j'en dit ... Cordialement oracle7😉

@LoisAlike Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Au lieu d'utiliser un VPN dans le sens NAS vers extérieur comme tu le fait actuellement avec NordVPN, et si tu installais un VPN cette fois dans le sens extérieur vers NAS (ce que ne sait pas faire NordVPN) avec le package VPN Server sur ton NAS et un client VPN sur ton périphérique externe ? Ainsi tu pourrais te connecter sans problème sous VPN à ton NAS et donc utiliser PLEX depuis n'importe où. Voilà qui résoudrait ton problème. Maintenant ce que j'en dit ... Cordialement oracle7😉

@MilesTEG1 Bonjour, OUI image: "telegraf:1.20.2" Cordialement oracle7😉

@adelac Bonjour, OK parfait alors. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@fe9177 Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Cordialement oracle7😉

@e0601180 Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi après 4 posts il n'est pas trop tard pour bien faire ... A ma connaissance, il n'y a aucune interférence entre les deux, ils cohabitent très bien. Donc,si j'étais toi, je vérifierais la configuration des deux. Si ce n'est déjà fait, commencer par suivre le TUTO : Sécuriser les accès à son NAS. Après, si ton domaine est en xxxx.synology.me, alors il te faut aussi transférer le port 80 de la box vers le NAS et ouvrir/autoriser ce port 80 dans le pare-feu du NAS afin de permettre le renouvellement à échéance de ton certificat. Cordialement oracle7😉

@Jeff777 Bonjour, Cela peut paraître bizarre mais essaies de le charger en renommant avant son extension en .pfx. Sans garantie ... A voir avec le mot de passe de création du certificat originel ... Cordialement oracle7😉

@Kemra Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Question TUTOs tu trouveras tout ce dont tu as besoin ici dans la rubrique [TUTORIELS]. En attendant, j'invite à regarder et suivre ces deux TUTOs pour t'assurer que tu as bien démarrer avec ton NAS. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@Bajoum Bonjour, Je te renvoie à ma réponse faite ici ce jour : Cordialement oracle7😉

@nebelnic Bonjour, Je ne suis toujours pas passé sous DSM7 et donc je n'ai pu validé le changement. Comme expliqué précédemment dans le principe la méthode acme.sh est pour moi toujours valable mais sans le script python. Oui après MàJ vers DSM7 rien n'est cassé (je n'ai pas eu de retour dans ce sens de la part de ceux qui l'ont fait), donc a priori pas besoin de tout reprendre à zéro. Il n'y a finalement juste qu'à modifier la commande de la tâche programmée de renouvellement (dans le planificateur de tâches de DSM) pour remplacer le lancement du script python par ceci : bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/ comme c'était d'ailleurs le cas dans la version originelle du TUTO. Ne pas oublier non plus de faire aussi un simple ajout direct de la variable d'environnement : DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' dans le fichier account.conf (/usr/local/share/acme.sh/account.conf). Cordialement oracle7😉

@adelac Bonjour, As-tu transféré le port 6690 (il est obligatoire pour les échanges de synchro) de la box vers ton NAS et ouvert/autorisé ce même port dans le pare-feu du NAS ? Ton domaine "disque.mondomaine.fr" pointe-t-il vers ton @IP externe ? Vérifies aussi dans un terminal SSH via PuTTY ou WinSCP ou Windows Terminal, sous user root que " nslookup disque.mondomaine.fr 8.8.8.8 ", ça doit aussi te faire tomber sur ton @IP Externe. Si ce n'est pas le cas, il te faut revoir ta configuration dans la zone DNS de ton domaine chez ton fournisseur de domaine ( i.e. pas d'enregistrement wilcard présent : *.mondomaine.fr CNAME 84600 mondomaine.fr ou plus simplement pas d'enregistrement présent : disque.mondomaine.fr CNAME 84600 mondomaine.fr). Cordialement oracle7😉

@adelac Bonjour, Tu vas tout simplement dans : Sécurité > Compte > Blocage Auto > Autoriser/Bloquer la liste après c'est intuitif ... Par ex : Cordialement oracle7😉

@Bajoum Bonjour, Content pour toi que tu ais pu facilement créer ton certificat LE 😀. Pour DNS Server, comme tu as une @IP externe fixe, tu peux peut-être envisager de mettre en place une zone DNS publique mais cela t'imposera d'avoir aussi un serveur DNS secondaire ailleurs (chez un ami, un parent lui aussi en IP externe fixe). Mais il faut le dire, c'est plus complexe à mettre en œuvre pour avoir au final une autonomie complète. Très peu de membres ici l'on fait. Sinon, si tu t'en tiens juste à une zone DNS locale, celle-ci ne te sera utile que pour de la résolution DNS donc locale et si ta box n'autorise pas le loopback ce qui gêne pour l'usage de domaines et sous-domaines en local. Maintenant, elle a aussi l'avantage de te permettre de t'affranchir des serveurs DNS de ton FAI (réputés en général menteurs) pour utiliser des serveurs DNS tiers tels que FND ou Cloudfare qui eux sont bien plus respectueux de ta vie privée. Mais c'est toi qui voit ... Enfin, si cela peut te rassurer, installer une zone DNS locale avec le package DNS Server, ne perturbe en rien les autres mécanismes (Revers Proxy, docker, etc...) ni le renouvellement automatisé du certificat LE (perso je fonctionne comme cela). Cordialement oracle7😉

@.Shad. Bonjour, Pas de soucis, il n'y a pas le feu au lac non plus, profites bien ...🤗 Cordialement oracle7😉

@tonejay Bonjour, Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Là @Jeff777 pourrait t'en dire plus, je ne maîtrise pas assez ce point ... Cordialement oracle7😉

@MilesTEG1 Bonjour, Bon bah force est de constater que je rejoins le club, je n'ai moi aussi plus aucun affichage des informations pour le suivi de docker, mais tout aussi grave cela aussi impact le suivi de la LiveBox qui est entièrement vide. Effectivement cela est apparu avec le mise à jour du 30/10/2021 de telegraf en v1.20.3. Sous Linux (et ici), il semblerait qu'il faille ajouter l'utilisateur courant au group "docker" qui aurait les droits d'écriture sur le fichier " /var/run/docker.sock ". Mais comment faire cela sur Synology ? That's the question ! Sinon : J'ai arrêté le conteneur telegraf du monitoring, J'ai modifié les droits du fichier " /var/run/docker.sock " avec un : chmod 0666 /var/run/docker.sock J'ai redémarré le conteneur telegraf du monitoring, BINGO 🤗 j'ai retrouvé la surveillance de docker mais jusque quand ? Car à la prochaine MàJ système Synology cette modification ne devrait pas survivre. Je suis bien conscient aussi que c'est pas terrible au niveau sécurité. J'attends avec impatience l'avis de notre expert préféré sur ce point @.Shad.. EDIT : Sur la community.synology j'ai trouvé cela : Add user to docker group: # synogroup --add docker <your_username> Change ownership of docker socket to the docker group: # chown root:docker /var/run/docker.sock Mais j'hésite à faire sachant que pour <your_username> je serais tenté de mettre a priori mon user avec droits d'admin. Votre avis ? Cordialement oracle7😉