bruno78

@.Shad. Non non pas de problème, moi je mets cette adresse dans la plage et je n'ai aucun soucis, mais je n'ai pas essayé de la mettre en dehors pour vérifier ... . C'était juste une piste. Mais si ce n'est pas cela, .... je continue à regarder ..... Mon script de demarrage (testé et validé !) #!/bin/sh # #Set timeout to wait host network is up and running sleep 60 #sleep 90 #Host macvlan bridge recreate ip link add bridgemacvlan link ovs_eth0 type macvlan mode bridge ip addr add 192.168.1.251/32 dev bridgemacvlan ip link set dev bridgemacvlan address 0:1:2:3:4:5 ip link set bridgemacvlan up ip route add 192.168.1.248/29 dev bridgemacvlan

@MilesTEG1 ce qui me choque (mais après je n'ai pas forcement compris ta configuration), c'est d'avoir d'un côté ip addr add 192.168.2.210/32 dev macv0 et de l'autre ip route add 192.168.2.130/28 dev macv0 Sachant que le 192.168.2.210/32 n'appartient pas à la plage définie par 192.168.2.130/28

@MilesTEG1, heu ... je n'ai pas tout suivi, mais pourquoi l'adresse du dev macv0 ne se trouve t'elle pas dans le même sous réseau 192.168.2.130/28 ? Ai-je raté une explication ?

@firlin personnellement, je n'utilise pas la double identification. Mais dans ce cas, il faut récupérer la valeur du cookie DID puis la renseigner dans les variables acme.sh , (SAVED_SYNO_DID).

@firlin pour OVH, tu dois avoir 2 logins : un de la forme email un de la forme xxnnnnn-ovh (visible dans l'encart en haut à droite lorsque l'on se connecte sur son compte ovh) (c'est le "account-ID") c'est ce dernier qu'il faut utiliser obligatoirement pour créer les clés.

Bonjour, @Diabolomagic ayant testé sur SRM, de mon côté j'ai testé sur DSM6 et DSM7, voici donc la mise à jour du script, ayant retiré la liste mariushosting et ajouté la liste (les listes) feodotracker.abuse.ch . Je n'ai pas touché au reste du fonctionnement du script. autoblocksynology_20210223.sh bruno78

@.Shad. tout à fait ! Les 2 aspects que le script tente d'aborder tant bien que mal sont : l'affectation des service sur le nouveau certificat la conservation du certificat par defaut (si l'on a plusieurs certificats, le dernier renouvellé devient toujours celui par défaut si on ne fait rien .... ) Et donc oui cela ne peut concerner que le NAS local hebergeant le script. Ceci dans un but d'automatisation complète, qui me paraissait une bonne idée à l'époque. Mais je peux tout à fait comprendre que chacun choisisse une balance différente entre automatisation et intrusion excessive. C'est un choix personnel.

@PPJP bonjour, après un certain nombre de tentatives, pas moyen de récupérer automatiquement la liste mariushosting, même avec --http-password positionné. Réponse invariable : "404 ressource not found". Je continuerai à le faire à la main, de temps en temps, en plus de la liste lists.blocklist.de qui elle est accessible via le script.

Bonjour à tous, étant légèrement partie prenante, je vous fait part de mon point de vue qui je l'espère ne heurtera personne : je ne suis qu'un amateur s'intéressant à ce qu'il touche .... ce script python est né il y a plusieurs mois, suite aux difficultés que je rencontrais pour le renouvellement de mes domaines avec la méthode décrite par Oracle7. aujourd'hui le script s'est nettement amélioré et ... complexifié, et devient difficile à maintenir. Un bon soft est un soft clair, net, précis. Ce n'est plus le cas ici malheureusement, j'en suis conscient. Ayant appris depuis, si c'était à refaire, je ne le referai pas comme ça. je ne l'utilise plus à titre personnel. Je ne pense pas qu’il y ai lieu de le porter sous DSM7 je n'ai pas de raison de ne pas croire que le script devient inutile pour un certain nombre d'entre vous, comme il peut rester utile pour d'autres. Quant au transfert automatique du DID, .... je ne sais pas faire sans introduire encore plus de complexité et de contrainte. Ça fait un mois que je suis dessus, il y a des idées, mais bien trop de contraintes et d'aléas. Je jette l'éponge. Par rapport à un user type admin bien configuré, sans DID, avec juste le minimum d'autorisation nécessaire, il n'y a pas photo. Après il y a peut-être une méthode élégante, mais je ne la connais pas. Je ne rentrerai pas dans le débat pour savoir si il faut le laisser accessible ou pas. De mon côté, je continuerai, à la demande, à apporter des corrections si je peux et à aider ceux qui souhaitent s'en servir, y compris via des discussions publiques sur le forum. Par contre, je privilégierais plutôt des corrections et une mise à disposition par MP plutôt qu'une plus large diffusion du script. Soyons clair sur les objectifs : Syno / LE / acme ont vocation à faire le boulot jusqu'au bout, donc le script à vocation à disparaitre car finalement ce n'est qu'une rustine. Dernier point : une ou 2 personnes m'ont indiqué être intéressées pour une utilisation pro ou semi-pro. Là je dis /!\STOP/!\. En aucun cas je n'aurai moi même une confiance suffisante dans ce script, développé de façon tout sauf professionnelle, pour une telle utilisation. Je connais mes limites. Dernier dernier point : cela aura été extrêmement instructif. Merci à nas-forum et à tous ses contributeurs. cdt Bruno78

@PPJP Merci pour la mise au point, je vais le configurer ainsi. bruno78

Oui, réponse trop rapide de ma part sans contrôle.Dsl. Ça m'apprendra .... Envoyé de mon STF-L09 en utilisant Tapatalk

[mention=23494]PiwiLAbruti[/mention], oui il y a clairement ceinture et bretelles, et SI le FW est bien configuré, cela doit recouvrir au moins 80% (95% ??) des adresses qui sont dans cette liste (Chine, .... ). Mais on y trouve aussi des adresses aux USA, ou des pays plus proches de nous dont on ne veut pas forcement se couper : à chacun de définir soigneusement ce qu'il jugera licite ou illicite en accès sur son NAS. Mais ok il y a grande redondance. [mention=73220]Diabolomagic[/mention], essaie avec ce script, je ne l'ai que légèrement bidouillé par rapport au script d'origine. En tout cas il fonctionne. Il ne prend que la liste

@Diabolomagic oui c'est pas mal, mais d'où vient encore cette référence à la liste mariushosting ?? il y a encore des références à cette liste dans ton script ?

@Diabolomagic je ne l'utilise que sur DSM : si tu réduis la boucle principale for chx in $Choix; do ..... done à ceci simplement: curl --max-time 30 -s "https://lists.blocklist.de/lists/all.txt" > $tmp2 nb2=$(wc -l $tmp2 | cut -d' ' -f1) if [[ $nb2 -gt 0 ]];then sort -ufdo $tmp1 $tmp2 $tmp1 nb=$(($nb+$nb2)) if [[ $info == 1 ]];then echo "$nb2 IP téléchargées sur $host/$chx.txt" fi else echo "Echec chargement IP depuis le site $host/$chx.txt" fi ça devrait le faire. Quant à la liste mariushosting.com, après en avoir profité tant qu'elle était en accès libre, je continue à l'utiliser en complément (manuellement) de temps à autres, en ayant contribué (raisonnablement), ce qui ne me choque pas puisqu'il y a du travail derrière. C'est un choix délibéré. bruno78

@Pinpon_112 bonjour, tu peux nous en dire un peu plus stp ? (dsl je n'ai pas remonté tout le fil). Type d'erreur, et utilisation ou pas de la double authentification ? Merci

bonjour @AlexisG [Fri Feb 12 17:09:01 CET 2021] invalid domain [Fri Feb 12 17:09:01 CET 2021] Error add txt for domain:_acme-challenge.votre-domaine.tld invalid domain ....

@.Shad. je viens de faire l'essai : PAIR (5E) : OK root@ds918blam:~# ip link add mac1 link ovs_eth0 type macvlan mode bridge root@ds918blam:~# ip link set dev mac1 address 5E:11:4F:AF:D6:D2 root@ds918blam:~# IMPAIR (5F) : KO root@ds918blam:~# ip link add mac1 link ovs_eth0 type macvlan mode bridge root@ds918blam:~# ip link set dev mac1 address 5F:11:4F:AF:D6:D2 RTNETLINK answers: Cannot assign requested address root@ds918blam:~# bruno78

@.Shad., je ne sais pas te répondre si l'adresse est "auto-attribuée", mais là dans ton exemple c'est bon : 5E est bien pair. Après, de mémoire, c'est lorsque je spécifie une adresse MAC dans le docker-compose que j'ai eu ce problème. Et du coup je ne crois pas avoir fait l'essai avec le link. On trouve quelques références à ce propos : par exemple ip - Why the first octet of a MAC address always end with a binary 0? - Network Engineering Stack Exchange

@.Shad. j'ai juste une remarque : dans l'assignation des adresses MAC, elles ne sont pas tout à fait au hasard : le dernier bit du premier octet doit être positionné à 0, càd un premier octet pair. Sinon c'est refusé. Bruno78

@.Shad. Très beau tuto ! Merci

@MilesTEG1 ok, dans ce cas je te propose de faire : une visualisation "TABLE" et dans les overrides tu définis un "cell display mode" de type "LCD Gauge" et là tu peux cliquer sur le haut de la colonne.

@MilesTEG1, je ne crois pas qu'il y ai de tri "automatique" dans la définition du graphe. Par contre, sur la vue normale de ton graphe, si tu cliques sur un entête de colonne, ce sera automatiquement trié, soit du + vers le -, soit du - vers le + en recliquant. On voit alors le petit signe apparaitre

👍 Ayant mis en place un peu plus tard, je dois attendre les 10, 12 et 14 mars pour voir les renouvellement automatiques DSM7 de mes 3 domaines respectifs ( 1 domaine à la fois, on est d'accord, et à 2 jours d'intervalle !! histoire d'avoir le temps de réagir ... au cas ou ..... la dernière fois s'étant mal passée pour l'un des 3 domaines)

@oracle7, @Stixen92, oui, si tu as 2 domaines indépendants, surtout ne pas les mélanger. => les gérer de façon indépendante => jeu de clés OVH distincts. Ce n'est déjà pas simple comme cela, mais si tu as le même jeu de clés (je ne sais même pas si c'est possible !) ça va tourner au cauchemar pour le gérer. J'en ai presque fini avec la reprise du script de déploiement qui avait planté chez toi (il restait des coquilles, ... et je ne prétends pas qu'il n'y en a plus !). Je viens de faire un renouvellement automatique avec succès, avec l'option "-force", et une double authentification (à ce propos, @oracle7 m'ayant posé un défi à ce sujet, j'ai perdu un peu de temps sur le reste .... 🙂 ). Faut que je fasse attention aux 5 renouvellements / semaine ... Cdt Bruno78

@adaaud97 bonjour, difficile de dire avec juste cet extrait. Mais C'est pas terrible ... mais je ne vois pas l'origine dans cet extrait de log. Disposes-tu toujours de tes certificats (repertoire /volume1/Certs/ndd.tld/) ? Bruno78