oracle7

@olme17 Bonjour, Effectivement @MilesTEG1 a raison, ton premier message n'est pas très clair, finalement tu veux faire quoi exactement ? Pour ton MR2200ac, tu l'utilises comment ? en point d'accès WiFi ? Cordialement oracle7 😉

@.Shad. Bonjour, Bon bah comme cela c'est clair. Merci pour la précision. Et si Non, comment fait-on pour fixer le TZ à notre situation géographique ? Pour comprendre, finalement est-ce aussi bien utile de le forcer ? Cordialement oracle7😉

@YOliv Bonjour, Deux choses à ne pas mélanger si je puis dire : Avec le GeoFence activé (mode Home dans SS) quand tu es à la maison, ce sont les paramètres d'enregistrement du mode Home qui priment. Quand tu es hors de ta maison alors ce sont les paramètres d'enregistrement de la caméra dans SS et sa planification qui sont pris en compte. En clair quand je suis à la maison j'ai planifié dans le mode Home, de la détection de mouvement durant la nuit seulement et quand je suis à l'extérieur, là j'ai de la détection de mouvement H24 dans SS. Cela marche très bien comme cela. Quand tu n'as aucune planification de configurée dans SS, alors il te faut vérifier ce qui configuré directement dans le logiciel "usine" de gestion de la caméra car c'est lui alors le pilote dans l'avion et ce d'autant plus si dans SS, tu as aussi mis la caméra comme source de l’algorithme de détection (onglet "Mouvement" de la partie "Détection de mouvement" dans les réglages de la caméra. Tout est répercuté alors dans SS. Tu me suis ? Cordialement oracle7😉

@Lud Bonjour, Donc je ne disais pas de c...ie, c'est bien celle de docker par défaut si rien n'est précisé dans le docker-compose du conteneur, non ? Cordialement oracle7😉

@.Shad. Bonjour, Justement dans ce cas, le TZ pris par défaut n'est-il pas celui de docker donc du NAS support ? Je dis une co...ie ou pas ? Cordialement oracle7😉

@meocli Bonjour, Relis mon post avec la procédure, à la puce "Réseau/Interface réseau" c'est expliqué. Tu modifies dans Interface LAN1 à l'onglet Ipv4. Cordialement oracle7😉

@CyberFr Bonjour, Dans la configuration OpenVPN, as-tu cochée la case : "Autoriser aux clients l'accès au serveur LAN" ? Dans le fichier .ovpn : est-ce que la ligne "redirect-gateway def1" est bien décochée ? as-tu ajouter une ligne "dhcp-option DNS 10.8.0.1" ? Fais aussi une capture de trames sur le Synology (à faire en root sous SSH) : tcpdump -n -q "udp dst port 1194" pour voir s'il n'y a pas de filtrage entre ton client et ton NAS. Si tu as DNS Server d'installé sur ton NAS, penses à définir une vue pour le VPN. Au fait par sécurité, masques ton @IP externe dans ta dernière copie d'écran. Cordialement oracle7 😉

@Plein Badin Bonjour, Bon bah tant mieux, mais attention tout de même au coût annuel d'abonnement chez amen, à voir s'ils sont compétitifs ! Cordialement oracle7😉

@speedeur Bonjour, C'est c... mais as-tu changé la pile interne, elle est peut-être trop faible pour supporter la charge de démarrage avec les disques insérés. Maintenant ce que j'en dit ... Cordialement oracle7😉

@CyberFr Bonjour, Sur quel type d'appareil tu as installé ton client OpenVPN ? Si c'est sur Android alors j'ai ceci en magasin : il suffit d'installer le fichier « .ovpn » normalement, ensuite quand il demande le fameux certificat SSL, là il faut exporter le certificat depuis DSM (onglet sécurité/certificat), qui nous sort des fichiers « .pem » et il faut les convertir en « .pfx » ou en « .p12 » ! Quand l'appli demande le certificat il suffit d'aller le chercher là où tu l'a enregistré et le tour est joué. Tu peux supprimer le fichier « .pfx » par la suite Openvpn a enregistré le certificat je ne sais pas trop où, mais il est conseillé de supprimer celui que tu as importé comme ça, seul l'application Openvpn a accès à ces données. Pour convertir un fichier ".crt" ou ".pem" en ".p12" ou "pfx", il faut passer par un outil comme OpenSSL sur Windows en ligne de commandes. Pour cela il faut : · Installer sur le PC "OpenSSL". · Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin · Faire un "cd" sur le répertoire contenant les fichiers .pem · Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem" Ensuite tu importes ton certificat ".p12" sur le smartphone et là il devrait être reconnu par OpenVPN client. Si c'est sur iOS, désolé je ne connais pas la solution. Peut-être du même genre, je ne sais pas ... Enfin, pour OpenVPN, il y a toutes les chances que tu ais une @IP dans le sous-réseau 10.8.0.0/24 donc pour le contrôle de profil d'accès il te faut aussi autoriser ce sous-réseau. Cordialement oracle7😉

@CyberFr Bonjour, Non juste pragmatique et réaliste 🤣 Cordialement oracle7😉

@faluorn Bonjour, Comme je te l'ai dit, je suis sous DSM6.x donc je ne connais pas encore la nouvelle méthode que tu évoques, donc difficile de t'en dire plus sur elle. Par contre l'ancienne méthode, elle je suis certain qu'elle marche. Alors ... Pour les ports par défauts, regardes ce lien. Pour l'accès local inaccessible, je crains maintenant, mais je peux me tromper, que la cause soit ta box qui n'accepterait pas le lookback. Du coup, la solution serait que tu installes le package DNS Server (voir TUTO) et que tu configures une zone DNS local et là tu ne devrais plus avoir de soucis. Rassures-toi, il n'y a rien de très compliqué pour DNS Server. Cordialement oracle7😉

@CyberFr Bonjour, Personnellement, cela a toujours été la galère avec L2TP/IpSec 🥴 alors changement de fusil d'épaule et utilisation d'OpenVPN et là plus de soucis. Mais encore mieux avec mon routeur RT2600ac j'utilise aussi le package VPN Plus Server et le VPN Synology : SSL VPN . Là c'est tout bonnement génial car Hyper simple à mettre en œuvre. Cordialement oracle7😉

@papou Bonjour, Regardes ce lien, peut-être y trouveras-tu la réponse à ton problème. Cordialement oracle7😉

@meocli Bonjour, Comme tu l'a fait pour le port 80. Tu crées un régle NAT dans la Livebox pour le port 443. À partir de là, je ne comprends rien (désolé ☺️) Relis bien : soit tu configures en cochant DHCP sur automatique, soit sur manuel mais dans ce dernier cas il y a d'autres choses à saisir que je t'indiques. C'est toi qui choisi le mode même s'il est plus que recommandé de choisir le mode DHCP automatique. Enfin, juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci. Cordialement oracle7😉

@CyberFr Bonjour, Avec un peu plus de parano, tu peux aussi réduire (voir ce calculateur d'@IP) la plage d'@IP possibles pour ton VPN. Actuellement avec 10.0.0.0/8 tu autorises 16777214 machines. Cela m'étonnerait que tu en ais autant sur ton réseau local, donc par exemple avec 10.20.0.0/24 tu limiterais à 254 ce qui est déjà bien mieux, non ? Idem avec 192.168.1.0/16 (65534 machine) en le passant à 192.168.1.0/24 = plus que 254 machines. Avec 172.16.0.0/12, je te laisse trouver le bon masque CIDR car là si tu fais du Docker la plage est plus difficilement réductible vu que l'on peut utiliser différents sous-réseaux. Voilà un peu plus de sécurité ... Maintenant c'est toi qui voit ... Cordialement oracle7😉

@faluorn Bonjour, Bon cela ne va pas être facile car effectivement tu es sous DSM7 et je suis encore sous DSM6.x donc avec une interface différente. En plus si je ne dis pas de bêtises, certaines fonctions ont migrées dans d'autres écrans sous DSM7. Mais bon, on devrait quand même y arriver. Je vois que tu as modifié les ports par défaut pour certaines applications, de mon humble avis cela ne sert à rien du point de vue sécurité, car tu ne fais que retarder de quelques dizaines de secondes un malveillant qui scan tes ports. Ce qu'il faut soigner, ce sont les protections des accès. Mais rien ne t'empêche de le faire si tu penses que c'est bien. L'utilité est franchement discutable car si tu fais une commande "NMAP" sur ton IP publique, tu verras en quelques secondes tous les ports accessibles depuis chez le lieu de la commande, donc que DSM soit sur le port 5000 ou 57485, cela ne change rien. Une commande "CURL" renseignera également directement sur le contenu de la page renvoyée par ton @IP sur ce port. Donc aucun intérêt, mais ce n’est que mon avis … Pour configurer le Reverse Proxy, je te propose de faire autrement, et on va prendre comme exemple Audio Station, pour les autres applications, je pense que tu sera capable de transposer 😜 a) Dans le portail des applications, tu accèdes à Audio Station avec un 2xClic. b) Là dans la partie "Services Web" tu gardes l'alias et tu ne renseignes que le N° de port HTTP, puis dans la partie "Domaine" tu effaces le champ "Domaine personnalisé" c) Ensuite tu vas dans Système / Portail connexion / Avancés / Reverse Proxy d) Tu crées une règle et lui donne un Nom par ex : Audio e) Pour la partie "Source" tu renseignes : protocole = HTTPS, Hôte = <alias>.xxxxx.synology.me, port = 443 --> <alias> = valeur donnée au point b) (tout en minuscules !!!), xxxxx est le nom que tu as donné pour ton domaine (DDNS). f) Tu coches HSTS (Attention avec ceci, ton navigateur Web t'interdira par la suite toutes URL en HTTP !, donc à faire en connaissance de cause). g) Pour la partie "Destination" tu renseignes (attention, c'est trompeur certains champs sont apparemment déjà renseignés, mais il n'en est rien, il faut quand même les saisir sinon rien n'est pris en compte !) : Protocole = HTTP, Hôte = localhost, port = N° de port HTTP celui saisi au point b). h) Ne pas oublier de valider. Remarques : - Si tu veux accéder à DSM via RP l'alias que tu utilisera devra être différent du nom donnée au NAS, sinon cela ne marchera pas, donc NomNAS = nasdetoto et alias = dsm ou = tartampion (en fait ce que tu veux mais pas = nasdetoto !) - Pour le "Protocole" de destination : il est inutile et improductif de faire du HTTPS d'autant plus que l'on est en local car cela reviendrait à crypter un flux qui l'est déjà, d'où des ralentissements. - Pour la valeur "localhost" de destination (qui correspond à l'IP locale de ton NAS), tu peux très bien indiquer à la place une @IP locale dans le cas où tu voudrais atteindre une autre machine (par ex chez moi j'ai des règles de RP pour atteindre la configuration de chacune de mes caméras de surveillance, j'ai donc mis l'IP locale 192.168.x.xx et le N° de port - 80 de chacune de mes caméras, j'en ai une aussi pour atteindre un RPI Jeedom pour la domotique). i) Enfin depuis l'extérieur tu te connectes avec un URL telle que : https://audio.xxxxxx.synology.me dans un navigateur Web ou si c'est avec DSAudio : https://audio.xxxxxx.synology.me:443 . En local, la première URL est suffisante. Voilà, si tu suit bien ce processus cela devrait le faire. Cordialement oracle7😉

@slert Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Cordialement oracle7😉

@faluorn Bonjour, A titre d'exemple, quelle application tu n'arrives pas à joindre via le Reverse Proxy ? Tu peux faire STP une copie d'écran de la règle RP correspondante. EDIT : une autre question : dans ton post initial tu dis que ton domaine est en Synology. Donc tes URL de connexion ont bien cette forme : " https://application.xxxxx.synology.me ", j'ai bon ? EDIT 2 : dans réseau / Paramètres DSM tu es bien comme ceci ? Cordialement oracle7😉

@Lud Bonjour, C'est un peu bizarre ton affaire, mes images de Calibre_Websont mises à jour automatiquement avec watchtower et je n'ai aucun problème. Jamais je n'ai eut à me soucier de python. Re télécharges éventuellement l'image latest de Calibre_Web, elle a pu être endommagée lors du download. Et si tout simplement ton package docker n'était pas à jour ? C'est peut-être la cause de la non prise en compte de Python 3.8. La dernière MàJ de Docker pour DSM 6.x date du 29/06/2021. Maintenant ce que j'en dit ... Cordialement oracle7😉

@CyberFr Bonjour, A tout hasard, essaies de réduire le niveau de compatibilité TLS/SSL de moderne à intermédiaire dans Sécurité / Avancés / Niveau de profil TLS/SSL / Paramètres avancés / Choisir l'application + Popup. Cordialement oracle7😉

@CyberFr Bonjour, Si tu essaies d'atteindre DSM par le Reverse Proxy, il ne faut surtout pas employer d'URL du style : nomduNAS.ndd.fr, il te faut définir une redirection avec un autre nom, par exemple : dsm.ndd.fr ou toto.ndd.fr (enfin tout sauf le nom que tu as donné à ton NAS) sinon cela ne marche pas, et c'est du vécu ! Par ailleurs, pourquoi tu n'active pas le port 80 dans le pare-feu ? Sinon tu risques d'avoir des problèmes pour le renouvellement du certificat LE. Mais c'est toi qui voit ... Cordialement oracle7😉

@CyberFr Bonjour, Dont act ! mais je maintiens que ce n'est pas normal, tu ne devrais pas avoir besoin de mettre la cible du reverse proxy en https. Donc, comme je le disais le problème est sûrement ailleurs. A voir si un autre membre aura une idée car là je sèche ... Cordialement oracle7😉

@CyberFr Bonjour, Juste pour bien comprendre : tu tapes quoi comme URL de connexion ? Tu ne ferais pas un http:// xxx.ndd.fr:443 par hasard ? Si oui alors ce n'est pas bon car dans ce cas cela veut dire que tu cherches à utiliser une connexion non SSL pour te connecter à une connexion SSL. Si tu dis à ton navigateur d'utiliser le port 80 mais que tu recherches le port 443, tu ne peux pas aller à gauche et à droite en même temps. Tu me suis ? La bonne syntaxe d'URL est : https://xxx.ndd.fr. Sinon, ne me demande pas pourquoi, mais pour certaines applications (SurvStation, Calibre, PhotoStation par ex) pour y accéder via Reverse proxy, il faut activer l'entête Websocket (Entête personnalisé / Créer / Websocket) : peut-être une piste pur toi ? Cordialement oracle7😉

@Jeff777 Bonjour, OK, je peux comprendre le fun de la chose et respecte ce choix, mais quand même pour quelle utilité ? C'est déjà pas facile de maintenir correctement un NAS sans y rajouter de la complexité qui n'aurais qu'un intérêt non évident, non ? Cordialement oracle7😉