oracle7

@grangilles Bonjour, Je ne sais d'où tu sors ce "diskstation.me" mais ce n'est pas un domaine "standard", en clair c'est une c....ie. Donc renseignes ton nom d'hôte avec " ton-ndd.synology.me " et cela ira tout de suite déjà mieux. Oui avec Quickconnect cela marche mais il faut le désactiver (c'est clairement expliqué dans le TUTO sur la sécurisation du NAS) car non seulement c'est un trou de sécurité et en plus toutes tes données passent par les serveurs Synology. En matière de confidentialité c'est pas top ! Mais c'est toi qui voit ... En plus de mes explications, @MilesTEG1 t'a fourni des copies d'écran on ne peut plus explicites. Donc suit les et mets en place le Reverse Proxy. C'est la solution qui vaille. Cordialement oracle7😉

@Bajoum Bonjour, Une fois que ton NAs est sécurisé comme te l'as suggéré @Mic13710, tu n'as plus qu'à configurer tes redirections du type aliasapplication.xxx.ovh selon le TUTO : Reverse Proxy. Ajoutes aussi un wilcard dans ta zone DNS chez OVH avec un enregistrement : " *.xxx.ovh. CNAME 84600 xxx.ovh. " pour pouvoir utiliser depuis l'extérieur des URL avec tes sous-domaines "aliasapplication.xxx.ovh". N'oublies pas non plus de refaire ton certificat SSL Let's Encrypt sur ton domaine et son wilcard associé (voir les TUTO adéquats ici et/ou là selon que ton NAS supporte ou non docker). Cordialement oracle7😉

@grangilles Bonjour, Tu peux STP effacer le début de ta réponse précédente (sous @Oracle10) qui est en doublon avec la suite. Je te demandais simplement quelle URL tu utilises pour te connecter au NAS depuis l'extérieur, pas celle pour aller sur ton compte Plex. Donc c'est plutôt quelque chose en XXXX.synology.me et non pas XXXX.diskstation.me. Donc tu saisis ce domaine dans " Accés externe > Avancés > Nom d'hôte ou Ip externe ". SI tu as renseigné un DDNS c'est que ton @IP externe est dynamique (c'est à dire qu'elle change régulièrement). Tu peux la connaitre avec ce site : " https://ip.lafibre.info ". Sauf erreur de ma part, il ne faut pas utiliser un autre port que le port 32400 pour la partie publique de Plex. Donc, il faut que tu corriges et que tu transfères bien le port 32400 de la box vers le NAS. Assures-toi aussi que les ports 80 et 443 sont bien transférés (NAT) de la box vers le NAS et que ces mêmes ports sont ouverts/autorisés à tous dans le pare-feu du NAS. Ceci étant, maintenant pour vérifier que tu accèdes bien depuis l'extérieur à ton NAS : On vérifie que ton DDNS pointe bien chez toi, en passant la commande "ping XXXX.synology.me" depuis ton PC . La réponse doit être ton @IP Externe. On vérifie aussi dans un terminal SSH via PuTTY ou WinSCP ou Windows Terminal, sous user root que "nslookup XXXX.synology.me 8.8.8.8 ", ça doit aussi te faire tomber sur ton @IP Externe. Depuis l'extérieur (tél 4G par ex), dans un navigateur Web : taper l'URL " http://XXXX.synology.me:5000 " --> tu dois atteindre le NAS. Si NOK, pas la peine d'aller plus loin, il faut trouver pourquoi ton accès externe n'est pas efficient. Si tout est OK alors tu peux configurer le Reverse Proxy du NAS afin de pouvoir atteindre Plex (mais aussi d'autres applications) avec une URL du type " plex.XXXX.synology.me " ou " tonAppli.XXXX.synology.me ". Pour cela : Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy. Portails des applications/Applications : Pour les applications, je te conseille de renseigner les ports HTTP standards. Portails des applications/Reverse proxy : Définir les redirections à l'image de celle-ci : https://aliasApplication.XXXX.synology.me:443 --> localhost:portStandardHttpApplication (ne pas oublier de cocher HTTP/2). Soit par exemple dans ton cas : https://nas.XXXX.synology.me + HTTP/2 coché --> htttp://localhost:5000 pour le NAS et par exemple https://file.XXXX.synology.me + HTTP/2 coché --> htttp://localhost:7000 pour FileStation (attention, c'est trompeur dans le reverse proxy certains champs sont apparemment déjà renseignés, mais il n'en est rien, il faut quand même les renseigner sinon rien n'est pris en compte !). Enfin pour Plex par ex : https://plex.XXXX.synology.me + HTTP/2 coché --> htttp://localhost:32400. N'oublies pas de faire aussi un certificat SSL Let'sEncrypt pour ton domaine " XXXX.synology.me " avec comme "autre nom de l'objet" : "*.XXXX.synology.me " et d'appliquer ce certificat aux services (Bouton Configurer). Enfin, tu vérifies que les droits sont bien attribués à ton utilisateur Plex : Tu vas dans "Panneau de configuration / Dossiers partagés" Tu sélectionnes sur le dossier que tu veux partager avec PLEX et tu cliques sur "Modifier" Tu sélectionnes l’onglet "Permissions" En haut à gauche, dans le PopUp : tu choisis "Utilisateur du système interne" tu recherches dans la liste « PlexMediaServer » et tu lui donnes les droits. Normalement après tout cela, cela devrait le faire. Cordialement oracle7😉

@Sky007FR Bonjour, C'est étonnant ton affaire, car le package docker sur les NAS (DSM6 et DSM7) est en version 20.10.3-0554 ou 20.10.3-1239 selon, donc assez en retard sur le docker "standard" actuel 20.10.10 du 25/10/2021. As-tu vérifier les droits sur "/var/run/docker.sock" ? moi j'ai "rw- rw- ---" propriétaire root. Je vais surveiller la prochaine mise à jour de telegraf en 1.20.3 et verrais si cela plante ou pas. Merci quand même de ton retour. Cordialement oracle7😉

@tonejay Bonjour, Tu n'as pas tout à refaire, simplement vérifier par rapport aux TUTOs que tu es conforme aux prescriptions de ces TUTOs et éventuellement compléter avec les manques dans ta configuration. Maintenant si tu ne souhaites pas suivre les TUTOs suggérés, libre à toi ce sera ton choix, mais saches tout de même que ces TUTOs ont été largement éprouvés depuis le temps et personne de n'en plein bien au contraire. Pour le Reverse proxy tu entreras en HTTPS par le port 443 avec le sous-domaine xxxx.ndd.tld (xxxx étant un alias de ton application/service à atteindre) et tu rediriges simplement en HTTP (plus HTTP/2) vers le port 80 dans le cas de ton serveur Web. Pour les autres applications/services, tu rediriges cette fois vers le port associé à l'application (voir ici). C'est pas plus compliqué... Cordialement oracle7😉

@RedAlan Bonjour, As-tu regardé dans " Sécurité > Compte > Clients Fiables > Gérer les clients fiables " l'@IP locale de ton NAS y est peut-être. Si oui, supprimes-la de la liste. Re-vérifies aussi la configuration de ton routeur. Cordialement oracle7😉

@tonejay Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour bien démarrer. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@tonejay Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... As-tu transféré (NAT) les ports 80 et 443 de ta box vers ton NAS et ouverts/autorisés ces même ports dans le pare-feu du NAS ? Ton fournisseur de domaine Amen.fr ne te fournit pas de DynDNS ? Ce serait plus simple que d'avoir à passer par no-ip. Cordialement oracle7😉

@Blockk Bonjour, Pas du tout, dans l'onglet Avancé, on ne met pas une @IP locale du style 192.168..... comme tu l'indiques mais l'@IP externe du NAS et seulement si elle est fixe. Vu que ton @IP externe est dynamique, alors tu mets à la place le même domaine que celui que tu as mis pour le DDNS (soit : "ddns.synology.me") pour renseigner le nom d'hôte du NAS. Ainsi ton nom d'hôte sera bien associé à ton @IP externe via le DDNS. Cordialement oracle7😉

@MilesTEG1 Bonjour, Juste pour mon info, je dois être très en retard car je vois dans ta signature que ton SRM est en version 7.0.1. Waouh ????? Ce serait pas plutôt 1.2.5 ? 🤣 Cordialement oracle7😉

@MilesTEG1 @.Shad. Bonjour, Ce ne serait-ce pas tout bonnement Synology qui était très en retard avec son package docker par rapport à la version docker pour Linux et autres ? Il semblerait que l'ajout de la fonctionnalité 'cap-add' à docker ne date pas d'hier : voir ici et a priori ici une réponse pour son utilisation dans docker-compose. Voilà ce que j'ai trouver en fouinant rapidement, mais peut-être que je me trompe ... Cordialement oracle7😉

@xav107 Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). NON pas du tout, je dirais même au contraire ainsi il peut couvrir tes sous-domaines directs de type xxxxx.ndd.ovh (avec un wilcard *.ndd.ovh, cela va sans dire). Alors que si tu fais par ex un certificat pour nas.ndd.ovh celui-ci ne sera valable que pour les sous-domaines en xxxx.nas.ndd.ovh (avec un wilcard *.nas.ndd.ovh). Tu me suis ? Puisque tu es sous DSM7, saches que pour le renouvellement du certificat tu as juste à mettre cette commande dans le gestionnaire de tâches : bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/ N'oublies pas non plus d'ajouter cette ligne pour la variable d'environnement : DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' dans ton fichier "account.conf" (/usr/local/share/acme.sh/account.conf) . Cordialement oracle7😉

@MilesTEG1 Bonjour, Ah voilà qui est une bonne question 😜 Est-ce qu'il y a effectivement quelque chose à faire ? Franchement, je suis comme toi je n'en sais rien et suis aussi preneur de toute info à ce sujet. Cordialement oracle7😉

@MilesTEG1 Bonjour, Regardes au § "Linux Kernel capabilities" --> peut-être un début de réponse à ta question. Cordialement oracle7😉

@grangilles Bonjour, OK pas de soucis. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@RedAlan Bonjour, @Jeff777 a raison, tu ferais mieux de repartir sur une base saine. De toutes façons, si sous VPN tu ne peux pas pinger ton NAS c'est qu'il y a de fortes chances que soit ton serveur VPN est mal configuré et/ou soit le pare-feu de ton routeur bloque l'@IP de ton NAS puisque tout semble fonctionner en local. Je ne vois pas non plus pourquoi seul ton NAS ne serait pas accessible au ping quand tous tes autres périphériques répondent eux. Comme je te l'ai déjà dit précédemment, il est aussi possible que l'@IP du NAS soit blacklistée quelque part. Vérifies d'une part sur le routeur et d'autre part sur le NAS lui même (Sécurité / Compte / Blocage auto / Autoriser/Bloquer la liste ou /Protection du compte ou /clients fiables/ Gére les clients fiables) que l'@IP locale du NAS n'apparait pas dans une de ces listes. Cordialement oracle7😉

@xav107 Bonjour, En premier lieu, par sécurité, corriges ton précédent post pour masquer ton domaine. Mets à la place une valeur générique du type ndd.tld. Ensuite en première approche je serais tenté de dire vu ton message d'erreur "certificate name mismatch", que tu aurais fait une erreur de saisie lors de la création de ton certificat sous DSM. Du coup il ne serait pas correctement reconnu. C'est de toutes façons le cas car tu n'aurais pas alors d'alerte de sécurité sinon. Mais je peux me tromper ... Peut-être effectivement serait-il bon de supprimer purement et simplement ton certificat dans DSM et d'essayer de le recréer tout en l'affectant bien à tes différents services (bouton Configurer). Sachant qu'avec cette méthode tu ne peut pas créer de certificat "wilcard = *.ndd.tld" qui couvrirait tous tes sous-domaines existants et à venir. En effet, Synology limite à 254 caractères la chaine SAN "Autres noms de l'objet" ce qui réduit fortement le nombre de sous-domaines gérables. Pour éviter cela il y a effectivement la méthode que j'ai décrit dans mon TUTO (au passage valable pour DSM6.x, mais pour DSM7 il y a une restriction : il ne faut pas employer le script python qui n'est pas applicable et utiliser une autre façon d'assurer le renouvellement du certificat). Maintenant c'est toi qui voit ... Cordialement oracle7😉

@RedAlan Bonjour, Non pas forcément. Par exemple si ton VPN est OpenVPN, dans sa configuration (du moins dans VPN Server sur Synology) il y a une case à cocher pour autoriser les clients à accéder au sous-réseau LAN. Ne connaissant pas le routeur Ubiquiti UDM-Pro, je ne saurais te dire si cette fonctionnalité existe ou non sur ce routeur. Par ailleurs, comme tu ne semble pas vouloir répondre aux questions posées, difficile de te donner des pistes de résolution. Je ne suis pas devin 🤔 Cordialement oracle7😉

@xav107 Bonjour, Quelle méthode utilises-tu pour générer ton certificat LE ? Tu passes par DSM ou autre choses ? Quelle URL utilises-tu pour te connecter ? Cordialement oracle7😉

@RedAlan Bonjour, Pour essayer de déverminer les choses quelques questions basiques : As-tu suivi le TUTO : Sécuriser les accès à son NAS ? Le serveur DHCP du routeur est-il bien activé ? As-tu attribué ou non une @IP locale fixe à ton NAS par un bail DHCP statique au niveau du routeur ? Transfères-tu bien les ports 80 et 443 du routeur vers le NAS ? Les ports 80, 443, 5000 et 5001 sont-ils bien ouverts dans le pare-feu du NAS ? Ton réseau local 192.1680.0/24 est-il bien autorisé pour tous les ports en source et destination dans le pare-feu du NAS ? Ton réseau VPN 192.168.2.0/24 est(il bien autorisé pour tous les ports en source et destination dans le pare-feu du NAS ? Quel protocole VPN utilises-tu ? L'@IP locale de ton NAS ne serait-elle pas bloquée/bannie (fail2ban) au niveau du routeur ? Cordialement oracle7😉

@xav107 Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour t'assurer que tu as bien démarré. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@RedAlan Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Cordialement oracle7😉

@goerges Bonjour, Quelle est le modèle de ta box et de ton routeur ? Cordialement oracle7😉

@goerges @Thesalan Bonjour, Avez-vous essayé de réinitialisé le réseau du NAS en faisant un Reset mode 1 sachant que les actions du Reset mode 1 ont aussi ces conséquences : · La valeur par défaut du compte admin sera restaurée. · Le port de gestion de l'IU sera réinitialisé sur 5000/5001. · L'IP, le DNS, la passerelle et les autres interfaces réseau seront réinitialisées sur DHCP. · PPPoE sera désactivé. · Le blocage automatique sera désactivé. · Les règles du pare-feu seront désactivées. · Les dossiers chiffrés seront démontés et la fonctionnalité Monter automatiquement au démarrage sera désactivée. · Le cluster high-avalability sera supprimé. · Le cluster Virtual Machine Manager sera supprimé. donc a reconfigurer ces points selon vos besoins, après le reset . Cordialement oracle7 😉

@RedAlan Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Si ton NAS a une @IP sur ton sous-réseau local en 192.168.0.x et que tu dis arriver sur un sous-réseau en 192.168.2.x alors c'est normal que tu ne vois pas ton NAS, ce sont deux sous-réseaux différents. Du coup pour comprendre ton organisation : ton routeur est derrière une box ? ou bien quand tu parles de ton routeur c'est en fait ta box ? Quel protocole VPN utilises-tu ? Tu peux préciser STP. Cordialement oracle7😉