CyberFr

Le DS224+ est un modèle incontournable dans sa catégorie, un must have. Quelque soit la raison de ton choix, tu disposes d'un modèle puissant, performant et qui te servira longtemps. Un excellent investissement donc.

C'est un mini tuto 😀

@StéphanH, c'est ce que je fais pour Vaultwarden. Une première tache s'exécute un peu avant la sauvegarde. Une seconde tache s'exécute après la sauvegarde mais il faut avoir une idée de sa durée pour qu'elle s'exécute vraiment après. De plus, c'est une option, le disque USB externe sur lequel la sauvegarde a été effectuée est démonté.

@PiwiLAbruti, as-tu fait le saut vers l'IPV6 pour tes équipements ou es-tu resté en IPV4 ?

Ce serait bien de faire un tuto sur le sujet "IPV6 et NAS Synology" car la demande est croissante et je serais le premier à le lire vu mes connaissances proches de zéro en la matière.

J'ai effectivement créé un utilisateur dédié qui seul peut accéder au VPN. Par contre je m'interroge sur les droits que je dois lui donner en dehors du VPN pour accéder aux ressources de DSM. Pour l'instant c'est un compte d'administrateur mais je vais sans doute réduire la voilure et pour cela il faudra étudier les besoins de façon détaillée. Pour la musique, les photos, les applications de DSM en général et celles sous docker j'ai conservé les reverse-proxy. Mais le cœur du système, à savoir DSM, n'est plus accessible depuis l'Internet. Tour à fait d'accord. Il s'agit de réduire le risque et un NAS mal protégé à l'origine le restera. Il est dommage que Synology ne propose pas Wireguard sous forme de paquet à cause de obsolescence des composants utilisés dans leurs NAS.

Certes mais on ne risque pas d'être devant la porte de son NAS sans pouvoir y entrer comme avec le 2FA 😀

Ou là là !!! Ça marche comme ça et j'accède bien aux adresses 192.168.1/24, alors je ne touche plus à rien de peur de tout casser ! Je ne suis pas comme toi qui mange du VPN tous les matins au petit déjeuner 😀

Je suis bien d'accord. D'où l'importance, on ne le dira jamais assez, des mesures de sécurité mises en œuvre au niveau du NAS. J'ai, pas plus tard qu'aujourd'hui, rendu mon NAS inaccessible depuis Internet, il ne l'est que sur le réseau local ou à travers un VPN.

Ça y est, le VPN fonctionne et je peux accéder au réseau local 😀 Il fallait désactiver les passerelles multiples dans les réglages avancés du réseau. DSM ne sera plus accessible qu'en local et non derrière un reverse-proxy ce qui améliore nettement la sécurité du NAS. Méfiez-vous car j'accède au forum depuis mon VPN 😀 Merci pour ton aide qui m'a permis de cerner les problèmes et d'avancer. J'ajoute que j'accède aux IP locales en 192.168.1.X.

Un fois de plus le problème se situait entre la chaise et le clavier. J'ai bien fowardé le port 4500 de la Freebox vers le NAS mais en TCP au lieu de choisir UDP ! J'ai pourtant posté de belles copies d'écran mais personne n'a remarqué cette grossière erreur 🙃 Après rectification tout marche bien mieux et je peux voir dans VPN Server que je suis connecté. Mais je n'arrive pas à joindre le réseau local sur 10.8.0.1 ou 192.168.1.X. J'ai joué sur le réglage "Envoyer tout le trafic sur la connexion VPN" pour tenter de joindre 192.168.1.X mais en vain. J'ai raté quelque chose ?

Certes mais c'est contraignant et ça n'évite pas les attaques. L'équilibre entre contraintes et bénéfices en matière de sécurité est à prendre en compte. Le bug auquel j'ai été confronté dans DSM où l'on me demandait un code de sécurité lié à la clé de Synology alors que je n'avais jamais utilisé cette clé a calmé mes ardeurs. À l'époque j'utilisais Authy donc sans aucun rapport avec Synology. J'ai été obligé de faire un reset du NAS.

Je n'ai pas essayé. Et j'ajoute qu'un gestionnaire de mots de passe comme Vaultwarden simplifie bien la vie.

J'ai eu des mésaventures avec la 2FA dues à la clé propre à Synology qui m'a été réclamée alors que je ne l'avais jamais utilisée ! Depuis, la sécurité est gérée par un mot de passe fort (majuscules + minuscules + caractères diacritiques et longueur de 16 caractères). De toute façon, pour gérer la 2FA sans prendre le risque de ne plus avoir accès au NAS, il faut détenir au moins deux smartphones au cas où l'un tomberait en panne et je n'en ai qu'un.

C'est récent dans ce cas car je l'ai longtemps utilisé, je ne l'utilise plus parce que j'ai mis fin à la 2FA.

C'est déjà fait. Des caractères diacritiques (#, @) dans mon mot de passe sur le NAS posaient problème, j'ai donc créé un utilisateur dédié avec un mot de passe ne comportant que des caractères dans la plage a-z, A-Z, 0-9. Depuis j'arrive à me connecter quand j'indique comme serveur l'IP locale du NAS. Mais lorsque j'indique son IP publique les ennuis recommencent... Ce qui m'étonne c'est que le message d'avertissement dit que le serveur ne répond pas. Ce n'est pas un problème de coupe-feu puisque pour l'instant je suis en local où le coupe-feu laisse tout passer.

Certes mais pour Wireguard, entre le Mac et le NAS il y avait un autre intervenant, Free dont l'implémentation du protocole est opaque et semble poser problème. C'est ce qui ressort de discussions que j'ai lues sur le Web. L'avantage avec L2TP/IPSec c'est que cet intermédiaire disparaît et que ça se règle directement entre le Mac et le NAS. Maintenant, s'il faut une boule de cristal pour le faire fonctionner alors que j'ai simplement suivi les instructions du tuto, autant laisser tomber en effet. C'est fait. Je vais essayer. Merci.

Bonjour, Je pense pourtant avoir suivi à la lettre les instructions du [TUTO] VPN Server de @Fenrir. Le client VPN sur le Mac dit laconiquement : "Le serveur L2TP-VPN ne répond pas. Essayez de vous reconnecter. Si le problème persiste, vérifiez vos réglages et contactez votre administrateur." Je suis certain que le mot de passe associé à mon compte est correct de même que la clé secrète ou l'IP publique du NAS. Je joins les copies d'écran de mes différents réglages. Le seul à pouvoir utiliser le service L2TP/IPSec dans les privilèges, c'est moi. Je dois être maudit avec les VPN ! Merci à ceux qui pourront me venir en aide. COUPE-FEU DE DSM CONFIGURATION DU CLIENT SUR MAC

Vidéo Station a été abandonné mais Audio. Station est toujours présent sous DSM 7.2.2.

Quand je tape 192.168.1.X sur le smartphone, je vois une instruction "Redirect?" qui s'ajoute à l'URL que je viens de rentrer.

Là tu me poses une colle car je n'ai jamais utilisé Audio Station pour qu'il se connecte directement à un DAC. Ça se paramètre où ? En attendant je vais approfondir ce qui peut se faire à ce niveau avec Navidrome. @Mic13710, Un début de solution dans cette page Activer le jukebox mode.

Ça donne ça : cyberfr@LAX1 ~ % ping 192.168.1.X PING 192.168.1.X (192.168.1.X): 56 data bytes Request timeout for icmp_seq 0 Request timeout for icmp_seq 1 Request timeout for icmp_seq 2 Request timeout for icmp_seq 3 ^C --- 192.168.1.X ping statistics --- 5 packets transmitted, 0 packets received, 100.0% packet loss cyberfr@LAX1 ~ % Décidément, je n'arrive pas à comprendre pourquoi ça marche sur le smartphone (même si je note une redirection) et pas sur le Mac.

Voilà ce qui est affiché : Last login: Wed Nov 27 04:57:35 on console cyberfr@LAX1 ~ % netstat -rn Routing tables Internet: Destination Gateway Flags Netif Expire default link#18 UCSg utun3 default 172.20.10.1 UGScIg en1 127 127.0.0.1 UCS lo0 127.0.0.1 127.0.0.1 UH lo0 169.254 link#6 UCS en1 ! 172.20.10/28 link#6 UCS en1 ! 172.20.10.1/32 link#6 UCS en1 ! 172.20.10.1 46:35:83:36:86:64 UHLWIir en1 1119 172.20.10.2/32 link#6 UCS en1 ! 192.168.1 link#18 UCS utun3 192.168.27.64/27 link#18 UCS utun3 192.168.27.88 192.168.27.88 UH utun3 212.27.38.253 link#18 UHWIig utun3 224.0.0/4 link#18 UmCS utun3 224.0.0/4 link#6 UmCSI en1 ! 255.255.255.255/32 link#18 UCS utun3 255.255.255.255/32 link#6 UCSI en1 ! Internet6: Destination Gateway Flags Netif Expire default fe80::%utun0 UGcIg utun0 default fe80::%utun1 UGcIg utun1 default fe80::%utun2 UGcIg utun2 ::1 ::1 UHL lo0 fe80::%lo0/64 fe80::1%lo0 UcI lo0 fe80::1%lo0 link#1 UHLI lo0 fe80::%en1/64 link#6 UCI en1 fe80::4b1:94b:af64:5e71%en1 98:9e:63:4a:1:d8 UHLI lo0 fe80::%utun0/64 fe80::1e45:f5ad:40ab:a6af%utun0 UcI utun0 fe80::1e45:f5ad:40ab:a6af%utun0 link#12 UHLI lo0 fe80::%utun1/64 fe80::e6ae:2195:7d78:335f%utun1 UcI utun1 fe80::e6ae:2195:7d78:335f%utun1 link#13 UHLI lo0 fe80::%utun2/64 fe80::ce81:b1c:bd2c:69e%utun2 UcI utun2 fe80::ce81:b1c:bd2c:69e%utun2 link#14 UHLI lo0 ff00::/8 ::1 UmCI lo0 ff00::/8 link#6 UmCI en1 ff00::/8 fe80::1e45:f5ad:40ab:a6af%utun0 UmCI utun0 ff00::/8 fe80::e6ae:2195:7d78:335f%utun1 UmCI utun1 ff00::/8 fe80::ce81:b1c:bd2c:69e%utun2 UmCI utun2 ff01::%lo0/32 ::1 UmCI lo0 ff01::%en1/32 link#6 UmCI en1 ff01::%utun0/32 fe80::1e45:f5ad:40ab:a6af%utun0 UmCI utun0 ff01::%utun1/32 fe80::e6ae:2195:7d78:335f%utun1 UmCI utun1 ff01::%utun2/32 fe80::ce81:b1c:bd2c:69e%utun2 UmCI utun2 ff02::%lo0/32 ::1 UmCI lo0 ff02::%en1/32 link#6 UmCI en1 ff02::%utun0/32 fe80::1e45:f5ad:40ab:a6af%utun0 UmCI utun0 ff02::%utun1/32 fe80::e6ae:2195:7d78:335f%utun1 UmCI utun1 ff02::%utun2/32 fe80::ce81:b1c:bd2c:69e%utun2 UmCI utun2 cyberfr@LAX1 ~ % Merci @PiwiLAbruti pour ton aide.

J'ai renoncé au dongle WI-FI et j'ai établi un partage de connexion entre le smartphone et le Mac. J'ai modifié le fichier de config en prenant comme exemple celui que tu fournis : [Interface] PrivateKey = ***** Address = 192.168.27.88/32 DNS = 212.27.38.253 MTU = 1360 [Peer] PublicKey = ***** PresharedKey = XYQWr4nnpiARPgOFicSCQLwlJ2aclQAmXLeXrWwv8kg= AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.1.0/24 Endpoint = 82.67.97.246:52724 Je parviens à joindre des sites Web. Mais lorsque je modifie les AllowedIPs en supprimant 0.0.0.0/0 AllowedIPs = 192.168.27.64/27, 192.168.1.0/24 je ne peux joindre aucun site Web pas plus que l'IP locale du NAS or c'est pour joindre DSM en local que je tente de mettre en place un VPN. http://192.168.1.X

Je ne sais pas comment Free a implémenté Wireguard, je constate simplement sur le smartphone que lorsque je retire le réseau 0.0.0.0/0 des AllowedIPs, toute connexion avec le VPN est coupée. Je confie ce rôle à un dongle WI-FI qui a son propre réseau et qui remplace le partage de connexion avec le smartphone. Le fichier de config du Mac : [Interface] PrivateKey = **************** Address = 192.168.27.88/32 DNS = 212.27.38.253 MTU = 1360 [Peer] PublicKey = ****************** PresharedKey = ***************** AllowedIPs = 0.0.0.0/0, 192.168.27.64/24, 192.168.1.0/24 Endpoint = 82.67.97.246:52724