Brenac
-
Compteur de contenus
103 -
Inscription
-
Dernière visite
-
Jours gagnés
1
Messages posté(e)s par Brenac
-
-
Il y a 2 heures, InfoYANN a dit :
Ou as-tu vu/lu qu'il fallait configurer les ports concernant un serveur mail uniquement pour la France ? Si tu fais ça, tu oublis tout de suite de recevoir des mails de Gmail, Yahoo, Outllook, Hotmail, Protonmail, etc..
en faisant cette 4eme regle c'est ce que tu fait non ? tout est bloque mail, web etc.. tu rajoute au dessus de cette derniere ligne les exceptions non ? Aisni si tu as ton serveur MX il faut autoriser les ports smtp soit pour tous soit que pour certains pays, et si ce pays n'est pas liste: pas de reception d'email de la part de ce pays.
Sauf erreur de ma part
0 -
question peut être idiote: en limitant dans le firewall par géolocalisation on s' interdit pas du coup de recevoir des email depuis les pays bloques (ou suivant son implémentation) QUE des pays listes ?
0 -
Pour ma part j'utilise pureVPN (https://billing.purevpn.com/aff.php?aff=35823) qui a l’intérêt de proposer une IP fixe (mais pas en France ce qui ne pose pas de soucis, j'en ai une en UK et une en Allemagne), un nat. Ce qui n'est pas sur le site et que l'on découvre ensuite c'est:
- dans un même compte si, comme moi, vous avez plusieurs login (et donc plusieurs VPN), le NAT est commun aux deux accès VPN. Comme le nombre de port customisable est limite a 15 libres +5 pre definis cela peut etre une contrainte.
- l'option IP fixe ne supporte pas Open VPN, seulement pptp ou l2tp/ipsec
- l'ipfixe est pour la première connexion , comme 5 sont autorisées les 4 autres ont des IP dynamique.
- Ainsi pour être sur de tomber sur son IP fixe après une coupure de VPN il ne faut pas se relogger trop vite. Attente 10-30 secondes.
- leur support est 24/24 est sommes toute assez efficace.
- sur mon DS413j et DS1515+ tutti va bene et il y a un tuto specifique pour les NAS synology (https://support.purevpn.com/synology)
voila !
0 -
Le 15/05/2018 à 13:17, PiwiLAbruti a dit :
Je n’ai jamais essayé avec un script ip-down. Si ça fonctionne, ce serait vraiment le plus simple.
je confirme apres quelques jours d'usage que cela fonctionne très bien, le seul moment ou cela ne fonctionne pas c'est lors d'un failover d'un lien a l'autre, soit entre ethernet (bond) soit entre ethernet et dongle 4G ou wifi par exemple.
0 -
Le 08/04/2018 à 12:56, hot22shot a dit :
Pour ceux que ça intéresse j'ai bricolé un script python qui utilise l'API v5 de Gandi. Ce qu'il fait :
1- détermine la zone id a partir du domaine et de l'api key.
2- fait un snapshot de la zone.
3- modifie le @ de type A avec la nouvelle ip.
Source : https://github.com/hot22shot/updategandidns
Soyez indulgent, je n'ai jamais fait de python. N'hésitez pas à me faire part de vos remarques !
je regarde le sujet et toute la documentation gandi fait reference a la v4 (et, sauf erreur de ma part c'est sur l interface v4 que l'api est activable). Depuis Avril ton script 'v5' fonctionne t il bien ? Merci !
0 -
@Fenrir Petite suggestion pour le tuto. Dans la partie protection, DoS, ne pas oublier de cocher toutes les interfaces une a une. En effet qui n'a pas débranché son câble ethernet puis remis au hasard sur un autre port, ou ajoute comme moi un dongle 4G en secours. Autant pour firewall on a par défaut toutes les interfaces, autant pour la protection c'est 1 a 1.
0 -
Autre point, le filtrage par géolocalisation. L'adresse IP fixe qui m'est assignée est par exemple indiquée comme géolocalise en Angleterre sur ipaddress.com (ce qui est mon contrat avec mon fournisseur de vpn), par contre localisée aux US pour pleins d'autres sites de 'geolocalisation'. Du coup peut t on se fier a ce référentiel ???
Dans le même registre je sais que RIPE ne met a jour la localisation des subnets au sein du RIR qu'a l'occasion d'un transfert. Ainsi un LIR qui a plusieurs entité en europe (ou des serveur sous traites) dispatch allègrement ses IP aux 4 coins de son implémentation européenne. ...
Quel est le referentiel du syno du coup ?
0 -
@FenrirJe personnalise mon firewall depuis internet via un VPN (le NAS est le client), et bim voila ce qui arrive lorsque je souhaite sauver avec la regle 4, reject all, la derniere. J'arrive de l'exterieur depuis une IP de bouygues telecom donc mon filtrage sur les ports 5000 et 5001 limites a la france ne doit pas poser de soucis. A votre avis d'ou cela peut il provenir ?
0 -
Il y a 21 heures, Einsteinium a dit :
Euh j’utilise pas les dossiers personnels, mais le chemin réel doit être du genre /volume1/homes/utilisateur/
Regarde via ssh sinon.
merci. Je met en pause le point car il semble que l'on puisse éditer le script par defaut de relance d'un VPN qui par design est limite dans le nombre de fois. Je cite:
'it is possible to change the parameter of the reconnect time. The original design is the VPN will be reconnected 10 times every 30 seconds.(10 * 30 = 300sec = 5min)
Run the vi command and change the parameter as below.
1. vi /usr/syno/etc.defaults/synovpnclient/scripts/ip-down
2. find the reconnect_times and change it to 9999 or larger.'
Maintenant j'ai mis 500 fois a 30 secondes d' intervalle (donc pendant 4.16 heures. on verra bien 🙂
0 -
un grand merci @Einsteinium, j'avance (enfin je pense) avec l’éditeur texte (je ne maîtrise pas Vi) j'ai crée un fichier en .sh et mis celui ci dans /home/. Mais du coup quel chemin dois je mettre dans ma tache pour l'executer: volume1/home/monficher.sh ou bien juste /home/monfichier.js ? autre ?
Merci pour ton aide.
0 -
Bon alors je débute avec mon premier acces SSH (sisi) pour creer un script afin de résoudre ce point de relance du VPN (tuto ici: https://forum.synology.com/enu/viewtopic.php?t=100146) . j’accède bien au NAS, login avec un login et password administrateur, arrive a obtenir les éléments de pptpvpnclient.conf que je cherche. Par contre impossible de creer un script. la commande touch me répond permission denied. même apres un sudo -l (qui me repond que admin may run ...(all). Une idee pour regler cela ?
merci d'avance
0 -
Le 12/05/2018 à 15:29, fildar a dit :
Bonjour,
Simplement pour dire merci à @InfoYANN et à @Fenrir.
Serveur MailPlus mis en place en suivant le tuto malgré les limitations dues à mon FAI (Orange) : IP dynamique, port 25 bloqué en sortie, pas de reverse DNS...
Donc même si cela m'embête fortement, j'ai choisi de passer par Mailjet (le smtp d'Orange a vraiment une trop mauvaise réputation...). Si vous connaissez d'autres relais gratuits, fonctionnant sur un autre port que le 25 et qui respectent la vie privée, je suis preneur!
J'ai dû appliquer les conseils de Mailjet pour le SPF et l'ajout d'un DKIM supplémentaire pour que j'obtienne une note correcte (dernier test sur mail-tester. com 10/10).
Une autre question : quelle est la meilleure solution pour la configuration DNS de mon domaine sachant que mon IP est dynamique et que j'ai pris le nom de domaine chez 1&1?
Ne pouvant pas mettre de CNAME sur mondomaine.tld, j'ai mis un A vers mon IP actuelle (mais qui va changer à un moment...).
Mon enregistrement MX pointe vers mail.mondomaine.tld. Et j'ai mis un enregistrement CNAME vers mon DynDNS (No-IP) pour mes "sous-domaines" mail.mondomaine.tld et webmail.mondomaine.tld.
Ca vous parait correct et optimal?
apres pour 50 dollars par ans tu peux avoir une IP fixe en utilisant un vpn (l2tp ou PPTP, pas open vpn) de chez purevpn et ses options fix IP et NAT. j'en ai deux et c'est tres bien. le vpn se reconnecte a chaque changement 'ip d'orange ou reboot de la box. https://billing.purevpn.com
0 -
avec un VPN de chez purevpn et son option IP fixe et NAT, j'ai un IP fixe quelque soit celle que Orange me prête. CQFD
Certes mon VPN se déconnecte quand ma box change d'IP mais c'est quelques secondes, et le reconnections automatique se fait bien. Sauf dans certains cas de panne Orange par exemple, d'ou mon post. Qui peux m'aider a identifier les éléments d'un script relancer le vpn si il se met en echec (par ex apres 15minutes de wan down)
0 -
Il y a 7 heures, Mic13710 a dit :
Ce qui est surtout limite c'est d'utiliser le pptp. Voir le tuto de Fenrir.
lol, oui je sais mais openvpn n'est pas dispo pour une IP fixe chez PureVPN, du coup je suis passe a L2TP/Ipsec mais ma question reste entière. Autant on trouve de la doc sur comment realiser un script de relance d'un client VPN openvpn, autant rien sur un PPTP ou un L2TP/Ipsec.
0 -
personne ?. Par ailleur on trouve pas mal d'articles sur la reconnection d'un OpenVPN (et script adhoc) mais rien sur un VPN utilisant PPTP. En plus dans tous les cas je suis limite technique ici 🙂
a vot' bon coeur !
0 -
Bonjour,
Etant chez Orange, pour avoir une IP fixe j'ai un VPN crée et fonctionnel dans l' interface réseau de mon NAS. J'ai remarque que lorsque le lien internet est rompu pour plus de 10 minutes le VPN ne tente plus de se reconnecter, même si le lien internet revient. Il se met en erreur et basta. grrrr mes conf MX et autre ne sont bien sur plus fonctionnelles (du coup je met que maintenant un MX en 2eme priorité avec l'adresse fournis par le DDNS de la box, avant les autres MX de secours)
Cela dit dans le planificateur de taches je ne trouve pas comment planifier, genre toutes les heures un lancement de cette connexion VPN. (juste pour m'assurer de ne pas retomber dans ce même cas) . Une idée comment faire cela ?
Merci
0 -
Le 04/05/2018 à 10:12, Fenrir a dit :
Les avertissements restant ne sont pas grave pour un particulier, tu peux laisser comme ça.
ps : on voit ton nom de domaine dans les captures
merci, et donc la derniere etape, si je veux que mon serveur dns soit accessible pour tous c'est de faire un glue record avec mon nom de domaine et un autre jour si tout va bien et que je sent l'ame aventureuse de ne mettre que mon serveur DNS dans mon nom de domaine, est ce bien cela ?
0 -
Le 30/04/2018 à 16:12, Brenac a dit :
Bonjour,
Particulier passionne je cale sur la configuration finale de mes deux syno, chacuns avec un nom de domaine. Je cherche donc quelqu'un 'de confiance' qui souhaite gagner quelques euros (prix a definir en MP) pour realiser pour moi les taches suivantes, a distance.
- verifier / corriger l'adequation de ma config avec mes noms de domaines (tous deux chez gandi), tous deux heberges en des lieux differents mais sur Orange.
- resoudre / verifier que les certificats sont bons.
- finaliser le parametrage de mailserver sur l'un et maiplus serveur sur l'autre
- verifier que les DDNS des deux serveur fonctionnent bien (par ex je viens d'apprendre par le SAv syno que le DDNS de synology ne gerait pas/pas bien les MX, mais j'ai aussi des comptes dyndns en doublon
- optionellement creer et parametrer un serveur DNS au sein du NAS sur chacuns de ces NAS
Tout marchotte mais cela a besoin d'etre finalise et cela depasse mes competences...et le temps pour les acquerir me manque.
Cela branche quelqu'un ?
bon ben je me suis debrouille 🙂
0 -
merci @fenrir pour ce tuto. j'ai pas tout pris en compte mais c'est bien de passer les themes /zone de paramétrage en revue et de se reposer les bonnes questions avec 'security' en tete. .
0 -
Merci, ca avance, le resultat zonemaster ci dessousest ok non ? Ces erreurs (non bloquantes) sont peut être corrigeables mais je ne sais pas comment. Une suggestion ?
0 -
Il y a 2 heures, InfoYANN a dit :
Mais c'était quoi ? Des autres entrée TXT liées à acme ?
Car moi, j'ai par exemple celles concernant mon serveur mail et tout passe chez OVH. Et si ça passe pas chez Gandi bah change de provider...
oui c'est bizarre les autres entrees visible au lieu de acme etait spf et un truc de validation google, les acme n'etant visible et analysee par Ssl4free qu'apres que ces parasites aient disparu. strange
0 -
Il y a 2 heures, InfoYANN a dit :
Désoler mais tu peux avoir plusieurs entrées TXT dans ta zone DNS avec les deux acme_challenge.
ce n'etait pas le cas avec Gandi bizarrement. Mon certificat SSL n'a ete delivre que quand mes autres entrees TXT de ma zone avait ete enlevees.
0 -
super, merci. Puis je suggérer dans le tuto d'une part de conseiller que les entree cname txt acme challenge soient les seules entrees TXT du DNS d'une part et que en effet le TTL a 1 est souvent impossible (gandi est a min 300 secondes)
sinon nickel chrome
0 -
bonjour,
meme tard dans la nuit j'ai essaye de suivre au mieux le tuto. J'ai deux NAS donc le 1er sera mon mon DNS primaire (e IP fixe), le second secondaire (ip dynamique mais cela ne va pas durer) . les tests intermédiaires sont ok mais pas le final. lol j'ai certainement rate des trucs ou trop 'bien' fait..
Quelques questions, sans réponse (a priori) comprise dans ces 14 pages. Ma config étant en anglais je traduit au mieux..
A) dans les ressources records de ma master zone au sein de la vue LAN puis-je / dois y mettre tous les CNAME et autres TXT lies a DMARC et autre domain_key (en fait toutes les entrees que j'ai actuellement sur mon DNS gandi)?
B) dans les ressources record de ma zone master '2' au sein de la vue WAN '' '' '' '' ''?
en gros cela veux dire que les zones sont quasi identiques, au type pres (et l'IP de l'entree A, local dans une vue, public dans l'autre, et les adresses IP sources) non ? La vue WAN ne soit pas avoir d'entree faisant reference a une adresse IP locale est ce bien cela ?
D) dans le NAS secondaire, qui sera donc mon DNS secondaire, dans le tuto ''Et enfin, configurez votre DNS secondaire pour qu'il se synchronise avec votre SOA (votre NAS), il suffit de créer une zone de type "slave" et de lui indiquer les bons paramètres.'' est un peux court pour moi. mis a part créer une zone esclave avec l'ip publique du DNS primaire, faut il la mettre en vue wan par exemple, faut t il limiter a l'ip source du dns primaire sont accessibilité ? Faut il activer le service de resolution ? Enfin est ce normal que les entrees restent vide (ou bien je ne suis pas assez patient ??)
Merci d'avance pour vos avis et aide.
0
[TUTO] Sécuriser les accès à son nas - DSM 6.x
dans Tutoriels
Posté(e)
@InfoYANN, merci, on va dire plutot 25,465 et 587 pour la reception je pense. 993 est un port IMAP
oui @Mic13710 il le peux et c'est ce que fait @Fenrir (en ouvrant certaines appli a certains pays) mais du coup si tu as un mailserver sur ton nas il faut, si tu ne veux pas bloquer les mail entrants , mettre une regle ad hoc. Apres on peux toujours douter de l'exactitude de la geolocalisation (et je suis bien place pour le savoir) mais c'est deja mieux que rien.
Moi je me suis fait une politique inverse . je part du principe que je j'autorise (presque) tout de partout, sauf de certains pays (une 40 aine, des paradis sur terre en general mais pas que) pour qui tout est bloque (et c'est en faisant cela et en testant depuis par exemple la russie (au hazard hein) je ne peux meme pas voir mon site web sur mon NAS). Donc maintenant dans les pays dits exclus (15 par regles) j'autorise quand meme 80,443,25,465.587. C'est une autre approche.