AVERTISSEMENT MODERATION: MALGRE LES FONCTIONNALITES PROPOSEES PAR LES PRODUITS SYNOLOGY, CONFORMEMENT AUX REGLES DE LA SECTION, ON N'ABORDERA PAS LES SUJETS RELATIFS AU P2P, DONC A DOWNLOAD STATION ENTRE AUTRES.

ATTENTION : Attaques StealthWorker sur NAS Synology. Voir ici https://www.cachem.fr/nas-synology-stealthworker/ Une blacklist de plus de 800 IP est à télécharger dans les commentaires afin de l'importer dans vos NAS. (Merci Nourzo)

ATTENTION : Un bug affecte le processur Atom C2xxx (Modèles concernés : RS2416+ / RS2416RP+, RS815+/RS815RP+, DS2415+, DS1815+, DS1515+, DS415+). Voir ici pour + d'infos, et surtout là. Le communiqué de presse de Synology se trouve ici.

Vous pouvez tester ici votre version de processeur pour savoir si vous êtes concerné ou pas. Les versions corrigées ont une modification effectuée sur la carte mère : une résistance soudée, vous pouvez le faire vous-même : tuto de Spicy. Faites jouer la garantie des que possible si vous êtes concerné, en préventif. Apparemment il y aurait également des problèmes liés à l'alimentation sur ces modèles (et peut-être sur d'autres). On peut monter une alimentation de PC standard ATX à la place de celle de Synology pour alimenter la carte mère. Plus d'infos ici : https://forum.hardware.fr/hfr/resea [...] m#t1144755

ATTENTION : une vulnérabilité est reportée depuis décembre 2016 par plusieurs membres concernant des intrusions par des tiers sur leur NAS via le port 9002, apparemment en lien avec le paquet Sqeezebox Logitech. Soyez prudents et informez-vous si vous avez besoin de cette fonction.

Premier hack ici : http://forum.hardware.fr/hfr/resea [...] tm#t955659
Second ici : http://forum.hardware.fr/hfr/resea [...] tm#t960824
Hack sur un forum allemand : http://forum.hardware.fr/hfr/resea [...] tm#t960857

Pour un apercu de la gamme, visitez le site officiel
La base de connaissances est très complète, et comporte quelques tutos vidéo

Vous pouvez essayer DSM et Surveillance Station 8 sans posséder de NAS Synology directement a cette adresse : https://www.synology.com/en-global/dsm/live_demo

La version finale de DSM 7 est disponible. Elle n'est pas automatiquement poussée vers les NAS comme une mise à jour, si vous souhaitez migrer, il faudra le faire manuellement en téléchargeant le package sur le site de Synology et en chargeant la mise à jour depuis DSM.

SOMMAIRE :

En préambule, comme c'est une question fréquente, sachez que toute donnée qui se trouve sur un disque ne provenant pas d'un NAS Synology sera effacée lors de son initialisation par DSM. L'initialisation par DSM consiste en : formatage, éventuel test de la surface du disque, création des partitions swap et système DSM en RAID1 (miroir) sur chaque disque, puis enfin création la partition destinée à accueillir vos données : c'est la seule qui sera visible sous DSM.

Vous ne pouvez pas insérer dans le NAS un disque contenant des données et utilisé habituellement avec un PC, et accéder à ces données depuis le NAS sous DSM. En revanche les données restent accessibles en ligne de commande pour les utilisateurs avancés, merci Deadlock pour l'essai en ext4, et plus loin en NTFS, également ici.

1- Préparer ses disques durs

Vérifiez les données SMART de vos disques avec quelque chose comme Crystal Disk Info et n'essayez même pas d'installer DSM si vos disques présentent des secteurs défectueux. L'installation risque de planter et à la fin vous aurez un message d'erreur, par exemple de "connectivité réseau" pour mon cas (qui n'a rien à voir avec un problème de secteurs de disque) et vous allez vous arracher les cheveux avant de comprendre que votre réseau n'a rien a voir la-dedans.
Avant d'utiliser les disques durs qui vont recevoir vos précieuses données, il est indispensable de les vérifier sur toute leur surface. Il existe deux méthodes. La méthode intégrée à DSM et la méthode de préparation "poussée" via un utilitaire Linux nommé Badblocks. Certains pensent que l'utilitaire fourni avec DSM au moment de son initialisation et qui va scanner tout le disque en écartant les éventuels secteurs défectueux suffit, mais l'expérience d'autres a déjà prouvé que non, plus récemment ici. Un disque va tenir une première passe d'écriture, puis une seconde, et par exemple planter à la troisième. C'est pourquoi ceux-là (dont je fais partie), recommandent d'effectuer une préparation des disques durs avec l'outil Badblocks, qui fera 4 passes d'écritures/re-lectures avec 4 patterns différentes sur la totalité du disque afin de s'assurer qu'à la fin du processus, aucune erreur d'écriture ou de re-lecture n'a été rencontrée (objectif : obtenir à la fin des 4 passes 0/0/0 errors, comme sur cette image). Un des gros avantages du test Badblocks, c'est que ça stresse très fortement le disque sur plusieurs jours, donc s'il était déjà un peu fragile, il dégage tout de suite et on évite que ça arrive pendant la reconstruction du raid/SHR par exemple.
A vous de voir et de juger par vous-même de l'intérêt de faire cette préparation ou pas.
Une fois booté sous linux (même avec une distribution Live CD ou USB, inutile d'installer Linux sur le PC), ouvrir une fenêtre Terminal et taper :

x étant la lettre du disque dur vierge non partitionné à tester. ATTENTION DE BIEN CHOISIR LE DISQUE, UNE FOIS LA COMMANDE LANCÉE, C'EST SANS FILET ! La valeur de -b est le nombre de bytes par secteur (c'est souvent 4096 mais à vérifier sur la fiche technique du disque, -c est donnée par la formule c=RAM totale (en Mo) x3 /32 , soit 1024x1024x3/32=98304 pour 1Go de RAM et pour tester 1 disque. A adapter pour votre ligne de commande : diviser -c par le nombre de disques à tester en même temps, multiplier -c par le nombre de Go de RAM. Inutile de monter à des valeurs délirantes : badblocks plantera au lancement et ce sera de toute façon les performances du disque qui brideront les débits. Prenez au Max 5Go, même si vous disposez de davantage. Pour info et pour 1 disque en test : 1Go : -c 98304, 2Go : -c 196608, 3Go : -c 294912, 4Go : -c 393216, 5Go : -c 491520, 5,33Go : -c 524287 (semble être la valeur maxi avant plantage de badblocks).
On peut vérifier l'identification du disque dans l'utilitaire de disques (120Go sda dans cet exemple). Sous Mint XFCE, par exemple, c'est dans Menu/Settings/Disks.

Voir discussion avec détails sur les valeurs de -c

Résultat ici : pour un 4To, 58 heures au lieu de 80 environ habituellement avec -c 98304 au lieu de 10240.

Pour un disque monté en interne dans une tour, il faut compter 20 heures par To environ pour -c 10240, et lancer le scan sur plusieurs disques en parallèle n'augmente pas ce temps. Les charges processeur et RAM restent extrêmement basses, et le PC peut être utilisé tout à fait normalement, mais sans être éteint ni redémarré jusqu'à la fin du processus (onduleur recommandé). Attention : il est reporté des temps de plusieurs centaines d'heures si les disques sont testés dans des boîtiers USB 2.0 externes.  2x4To dans un boîtier USB : 23 jours   . En USB 3.0, les temps sont identiques aux temps mesurés avec les disques montés dans le NAS.

Vous pouvez lancer la préparation Badblocks sur un ou plusieurs disques en même temps directement dans un NAS Synology qui dispose déjà de DSM installé. Voir tutos en bas de page.

Pour info, les disques WD Red 8To WD80EFZX sont bien compatibles avec les NAS DS 213, 1512+, DS1813+, 2413+, et les Seagate Iron Wolf Pro 12 To - ST12000NE0007 compatibles avec DX510 et DS1511+, compatibles avec DX513 sur 718+ (et sans doute d'autres, y'a pas de raisons, un disque c'est un disque, simplement Synology ne teste pas tout ce qui est disponible sur le marché et surtout les fiches techniques des NAS une fois commercialisés ne sont pas tenues à jour)

Topic des onduleurs

Pensez à utiliser un onduleur sur votre NAS, surtout si vous vivez dans une zone sujette à coupures ou micro-coupures (onduleur de toute façon recommandé sur un NAS, destiné à être up and running 24/7, avec contrôle du NAS par USB. Le Eaton 3S 550 à 65€ est une des meilleures offres RQP, le APC Back UPS 550 également, un peu plus cher, Eaton EL650USBFR encore plus cher)

2- RAID ou pas RAID ? SHR vs Basic

Vous devez vous poser une question importante : configurer vos disques durs en SHR (= RAID hybride à la sauce Synology = un Volume de stockage unique réparti sur plusieurs disques) ou en Basic (chaque disque est indépendant = un Volume de stockage par disque). Il n'y pas de configuration meilleure qu'une autre : vous devez vous poser les bonnes questions en fonction de ce que vous souhaitez faire de votre NAS, et avec l'aide de ces quelques explications.

Lisez cet article qui vulgarise bien et succinctement les différents types de RAID, ainsi que la page Synology bien faite également.

Pour faire simple, un SHR (ou RAID) est un groupe de disques appelé grappe, constituant un Volume (où seront stockées les données), et qui vous permet, à partir de deux disques, de tolérer la panne d'un disque sans que cela impacte la disponibilité des données de ce Volume, puisqu'elles sont répliquées en temps réel sur d'autres disques de la grappe. En revanche, si vous perdez un deuxième disque de votre grappe SHR sans avoir remplacé le premier, toutes les données de toute la grappe constituant ce Volume sont perdues (tolérance à la panne d'un disque en SHR, tolérance à la panne de 2 disques en SHR-2 ou RAID6). Si un disque crashe, il suffit de le remplacer et de lancer la reconstruction du volume, c'est transparent pour les services. L'agrandissement du volume est automatique en cas d'ajout à la grappe d'un disque au moins égal au disque sain, au cas où le disque malade était plus petit.
UN RAID N'EST PAS UNE SAUVEGARDE ! Toute action malencontreuse (ou virus) effectuée sur vos données sont définitives et instantanées (car répliquées instantanément sur tous les disques du Volume). Vous devez disposer d'une sauvegarde de vos documents irremplaçables, et en fonctionnement normal cette sauvegarde doit être déconnectée du système. Si possible, une seconde sauvegarde délocalisée est fortement recommandé (contre les incendies / dégâts des eaux / vols / vandalisme). Une procédure de backup n'est viable que si l'on valide aussi la procédure de restore !. Ce serait dommage de se rendre compte que les sauvegardes ne sont pas récupérables le jour où on en a réellement besoin. Tuto pour sauvegarde des données du NAS

En Basic, chaque disque est indépendant et contiendra un seul Volume. La perte d'un disque entraînera la perte de toutes les données de ce disque (et seulement de ce disque).

Update : Au lieu de Basic, il est conseillé d'initialiser chaque disque en SHR car un disque SHR peut soit contenir un Volume unique (comme du Basic), soit s'intégrer à une grappe RAID SHR ou SHR-2, alors qu'un disque en Basic peut contenir seulement un Volume unique, il ne peut PAS s'intégrer à une grappe SHR. Donc SHR est plus souple : on peut faire par exemple dans un NAS 4 baies, 4 volumes SHR distincts avec 4 disques (comme en Basic) mais si un jour le besoin évolue, on peut les coupler en RAID SHR ou SHR-2 (pour faire un équivalent de 2 RAID1 par exemple, ou équivalent d'un RAID5 + un volume unique Basic, ou un RAID6 par exemple...). Bref c'est beaucoup plus souple. Conclusion : même pour une utilisation de type "Basic", toujours initialiser les disques en SHR. Dans la suite du post, je considère que "Basic" signifie donc "disque SHR contenant un volume unique, c'est à dire non-intégré dans une grappe".

Vous pouvez créer plusieurs volumes SHR dans le même NAS, par exemple dans un 8 baies vous pouvez avoir 2 volumes SHR, un de 5 disques et un autre de 3 disques. Si vous vous êtes trompé lors de l'ajout d'un disque et qu'il a intégré votre RAID SHR existant, voici un tuto pour revenir en arrière (utilisateurs expérimentés, et sauvegarde préalable de vos données fortement recommandée)

Avantages et inconvénients :

Avantages du SHR (RAID) :
- disponibilité des données (indispensable en entreprise ou sur un NAS qui doit fournir des services en permanence comme le partage de fichiers entre collaborateurs, l'hébergement de sites web, etc)
- simplicité de configuration (pas de question à se poser: les données se répartissent automatiquement sur tous les disques et l'utilisateur ne voit qu'un gros volume, sans se soucier de la manière d'organiser les données). Les paquets s'installent sur tous les disques, donc leur présence et leurs paramètres restent inchangés si un disque lâche. Le volume peut également être étendu facilement en ajoutant des disques supplémentaires et/ou de capacité plus grande. En cas de crash, on remplace le disque malade, un clic dans le gestionnaire de volume pour reconstruire le volume, et ça repart. Certains NAS supportent le remplacement du disque à chaud (hotplug), renseignez-vous. Dans le doute, éteignez.
Inconvénients du SHR (RAID) :
- perte d'espace : l'espace disponible sur le volume n'est qu'une fraction de la somme de la capacité des disques constituant le volume. Sur un 2 baies par exemple, cette fraction vaut au mieux 50% et peut valoir beaucoup moins (car la taille totale du volume est égale au plus petit des deux disques)
- les disques sont stressés davantage (contrôle de parité, écriture simultanée...)
- la sensibilité aux pannes de courant augmente (de l'expérience de nombreux utilisateurs sur divers forums), et de manière générale un SHR (RAID) est plus "chatouilleux" et pourra risquer de planter la totalité du volume en cas de défaillance sur un disque, une coupure de courant, un remplacement de disque qui se passe mal et tout le volume crashe pendant la reconstruction...

Avantages du Basic :
- l'espace de stockage est maximal et égal à la somme de chaque disque
- un disque peut être démonté du NAS et installé dans un autre NAS (même version de DSM recommandée) ou bien dans un PC sous Linux pour accéder facilement aux données. Intérêt : remplir un disque sur un NAS dans un local 1, le sortir et l'installer dans un autre NAS dans un local 2 et l'utiliser immédiatement.
- les données irremplaçables d'un disque peuvent être copiées vers un autre disque interne du NAS à des intervalles programmables, et constituer une "sauvegarde" en permettant de ne pas effacer un document de la destination même s'il a été effacé de la source (c'est une "pseudo" sauvegarde car elle est non déconnectée du système en fonctionnement normal). A partir de DSM 6, la fonction "sauvegarde et restauration" intégrée à DSM devient "HyperBackup". Sous HyperBackup, le versionning est géré, ce qui est une avancée, mais les données ne sont plus lisibles directement car encapsulées dans un fichier *.hbk. Pour naviguer dans une sauvegarde encapsulée HyperBackup, il faut utiliser le programme fourni par Synology : HyperBackup Explorer pour  visualiser/restaurer le fichier souhaité (attention : cela semble assez lent), soit visualiser/restaurer la sauvegarde DANS DSM pour qu'elle soit exploitable.  La résistance aux ransomwares est indiqué comme renforcée. Attention à la longueur des chemins d'accès : apparemment pas plus de 256 caractères en non-chiffré, et 143 caractères en chiffré. La commande qui liste les fichiers dont les chemins font plus de 143 caractères (à adapter au besoin) :

.
Pour conserver l'ancien comportement de copies simples de données vers un autre disque, afin que les fichiers soient lisibles directement à la destination, et pas encapsulés : dans la création de la tâche, vous devez spécifier le mode  "copie de données locale", qui comme son nom l'indique, est une simple copie (en clair, pas encapsulée dans un fichier *.hbk) vers un autre emplacement du NAS (idéalement situé sur un autre disque, évidemment, et si possible USB pour une sauvegarde déconnectable). Le versionning n'est en revanche pas supporté dans ce mode.

Il existe une solution qui fonctionne à tous les coups sans passer par HyperBackup. Gros intérêt de cette méthode : fonctionne aussi avec un disque USB externe comme source, alors que c'est impossible avec HyperBackup. Il suffit de créer une nouvelle tâche dans le planificateur de tâches (Panneau de configuration de DSM).

dans l'onglet Programmation vous programmez la fréquence de répétitions de la tâche
dans le champ "Exécuter la commande" vous tapez la ligne de commande à base de rsync que vous souhaitez, renseignez-vous sur la syntaxe et les options de rsync, mais typiquement :

rsync --delete -vaE -progress /volumeX/source/ /volumeY/destination

Dans cet exemple, l'option --delete effacera à la destination ce que vous aurez effacé à la source.
Si vous ne souhaitez pas ce comportement, enlevez l'option --delete et la destination conservera le fichier sauvegardé même s'il a été effacé à la source.
(notez bien le double tiret avant delete)

Attention :
Si vous n'ajoutez pas de / à la fin de "source" dans la ligne de commande, alors un dossier nommé "source" sera créé dans le dossier nommé "destination" et tout son contenu y sera copié.
Si vous ajoutez un / à la fin de "source/" alors c'est seulement le contenu du dossier nommé "source" ainsi que ses sous-dossiers qui sera directement copié dans le répertoire nommé "destination", mais sans y créer le sous-dossier nommé "source".

Typiquement, pour un adepte du babble-raid, on écrira quelque chose du style :

L'option -a (archive) permet de conserver les propriétés, dates, propriétaire, récursivité, etc des fichiers dans "destination". Voir ici ou là par exemple.
Post d'origine ici (merci Messij et Deadlock) et ici

Inconvénients du Basic :
- la perte d'un disque entraîne la perte de toutes ses données, et entraîne également une indisponibilité partielle et temporaire de service, le temps de remplacer le disque et de restaurer la sauvegarde des données et les paquets éventuellement installés sur ce disque.
- obligation de jongler manuellement avec la place disponible au moment de copier des données sur les disques

Un petit schéma pour illustrer cette différence d'espace disque disponible SHR VS Basic :

En gros, un particulier qui utilise un NAS pour faire principalement du stockage multimédia et de la sauvegarde de ses documents perso devrait configurer ses disques en Basic.
Une entreprise (ou assimilée) DOIT fonctionner en SHR pour assurer la disponibilité permanente des fichiers et services hébergés.

Surtout jamais de RAID 0 sur un NAS, car un disque qui meurt et c'est la totalité des données de TOUS les disques qui meurt. Vous pouvez toujours le faire si vous le voulez et que vous savez ce que vous faites, mais ce sera en connaissance de cause. Concernant JBOD, c'est un peu moins vrai : les données des disques non-HS restent récupérables, EE8 avait des tests  ici

Synology a mis en ligne un super outil RAID Calculator permettant de calculer la place disponible sur un SHR en fonction des disques qu'on insert dans le NAS:
https://www.synology.com/fr-fr/support/RAID_calculator

3- Règles de base lors de l'installation de votre NAS et généralités :

1. Désactiver le compte "admin" et le compte "guest" (c'est le cas par défaut dans les versions récentes de DSM)
2. Utiliser pour les comptes utilisateurs et administrateurs des mots de passe forts (suffisamment longs, et avec majuscules, minuscules, chiffres, et caractères spéciaux).
3. N'ouvrez sur l'extérieur (= au niveau de votre routeur) que les ports dont vous avez strictement besoin. Configurez de la manière la plus restrictive possible le pare-feu du NAS, en bloquant tout sauf les règles que vous allez créer. Respectez l'ordre des règles du pare-feu. En premier : accès autorisé depuis les machines du réseau local, en deuxième : accès autorisé depuis les pays que vous choisissez, et en dernier blocage de tout le reste, notamment de tous les autres pays étrangers depuis lesquels vous n'attendez pas de connexion. Ouvrez uniquement les ports correspondants à vos besoins au niveau du pare-feu du NAS.
4. N'utiliser pour se connecter depuis l'extérieur QUE des protocoles sécurisés (https et pas http, WebDav crypté, SSH et pas Telnet, etc). Si possible, modifiez les ports standards par des ports personnalisés. Souvent cette dernière opération se soldera par l'impossibilité de vous connecter depuis votre lieu de travail, où seuls quelques ports standards seront ouverts, et seul le 443 passera pour l'https (que vous redirigerez au niveau de votre routeur vers le 5001 pour accéder à DSM par exemple). Plus d'infos ici
5. Utilisez le blocage automatique des IP sur erreur de connexion. Vous pouvez paramétrer le nombre de tentatives échouées permises durant un laps de temps avant le bannissement de l'IP, et la durée de bannissement. Conseil : mettez en liste verte une ou plusieurs IP de votre réseau local ou de votre proxy du boulot par exemple, car vous risquez de vous bloquer vous-même.
6. Installez toutes les dernières mises à jour de sécurité (conseil : sur des machines en production, attendez tout de même les retours des utilisateurs )
7. Activez toujours la corbeille sur tous les dossiers partagés que vous créez, vous vous prémunirez ainsi d'une suppression accidentelle, si vite arrivée.
8. N'utilisez pas le système de configuration automatique du routeur.

Pour les meilleures performances, brancher le NAS (et les équipement qui y accèdent) à un switch Gigabit
N'utiliser que des câbles ethernet de catégorie 5e minimum
Un disque dur 5400 RPM suffira largement dans un NAS car c'est le réseau qui bridera la vitesse de transfert. Un 7200 RPM chauffera sans doute davantage, vibrera davantage, et sera plus bruyant, donc aucun intérêt.
Ne pas acheter tous ses disques en même temps et chez le même marchand pour éviter de cramer tous les disques simultanément s'ils viennent d'une série à problème.
Pour ceux qui utilisent des dossiers partagés cryptés, ne cochez pas la case de montage automatique au démarrage, car en cas de vol ou d'intrusion dans le local, le pirate pourra réinitialiser le mot de passe admin et accéder au dossier crypté qui se sera ouvert automatiquement rien que pour lui . Edit : non, c'est faux, les dossiers cryptés sont démontés et le montage automatique est désactivé en cas de reset physique https://www.synology.com/fr-fr/know [...] nology_NAS
Attention : si la partition système contenant DSM arrive à saturation, le NAS plante et devient inaccessible. Veillez autant que possible à laisser un peu d'espace libre. Voir ici pour les mésaventures (résolues) de Rufo.
Il peut arriver que l'espace restant ne corresponde pas avec la quantité de données effectivement présentes dans les shares visibles. Dans ce cas, et après avoir vidé toutes les corbeilles des shares, connectez-vous en SSH et naviguez dans les dossiers système à la recherche de dossiers temporaires pouvant contenir énormément de données, comme @cloudstation, @cloudsync, @download etc, exemple ici, grâce à la commande (pour le cas du volume 1) :

Pour connaitre l'espace total/restant :

Windows 10 a effectué une mise a jour qui désactive pour des raisons de sécurité le protocole SMBv1, qui permettait la découverte automatique des serveurs sur le réseau. Donc sauf si vous avez impérativement besoin de SMBv1 sur des clients anciens ou non mis à jour sur votre réseau, il est préférable de passer le NAS en SMBv2 mini et SMBv3 maxi dans le panneau de config.

Quelques logiciels Windows très pratiques qui vous faciliteront la vie :
DoubleKiller - comme son nom l'indique sert à trouver les fichiers identiques en plusieurs exemplaires disséminés sur les chemins à scanner que vous pouvez définir. Nombreuses options de filtrage et notamment la possibilité de reconnaître des fichiers identiques même avec un nom différent et une date différente. (compatible Mac et Linux avec Wine, sinon il existe Duplicate File Finder Remover, ou Gemini ou TidyUp sous Mac)
SyncBack - utilitaire très pratique permettant de programmer des tâches de sauvegarde vers des disques locaux ou des serveurs. Supporte la fonction de lancement de la tâche à insertion d'un disque USB déterminé (par son numéro de série ou son nom), supporte la fonction de laisser à la destination les fichiers supprimés de la source, et plein d'autres choses. Ne copie que ce qui est nécessaire. (Chronosync ou Freefilesync sous Mac, LuckyBackup sous Linux par exemple)
Everything - programme qui indexe les fichiers locaux et dossiers réseau mappés (comme des shares de NAS) dans l'explorateurs de fichiers. Permet de rechercher instantanément un fichier parmi des centaines de milliers simplement tout ou partie de son nom ou de son répertoire.
HDgraph - utilitaire permettant de scanner un disque / répertoire mappé dans l'explorateur afin de représenter son contenu sous forme de camembert à plusieurs niveaux. Chaque "part" est cliquable et permet de réexplorer les sous-dossiers associés. Très visuel et très intuitif. (équivalent Linux : Baobab. Équivalent MacOS : DaisyDisk)

Lisez la liste des bonnes pratiques selon Synology, attention toutefois avec l'assistant EZ Internet reporté de nombreuses fois comme problématique. Mieux vaut gérer ses ouvertures de ports / pare-feu / services manuellement.
Je vous recommande également le topic de fenrir très complet sur les bonnes pratiques de sécurité (merci à lui) : http://www.nas-forum.com/forum/top [...] 0-son-nas/

Alternative aux coûteux boîtiers d'extension Synology : le boîtier USB externe 8 baies ICY BOX IB-RD3680SU3 (380€ en oct. 2017) est compatible avec le DS214Play (et sans doute avec d'autres NAS). Chaque disque est visible séparément, contrairement à la situation reportée il y plusieurs années confirmant que dans le meilleur des cas, seul le premier disque de ce genre de boîtier était visible par DSM (edit: esata semble avoir ce comportement, mais OK en USB). Ça permet de se faire un gros NAS pour pas trop cher pour ceux qui ont de gros besoins de place. Preuve de fabb24 : http://forum.hardware.fr/hfr/resea [...] tm#t994087
Idem pour le boîtier externe FANTEC QB-35US3-6G à 124€ en décembre 2018 branché en USB3 sur un DS218+ ou sur un 1813+ (en esata, seul le premier disque semble reconnu). Même type de produit chez ICY box : référence 11585 (137€ en 01/2021). Principal inconvénient de ces boîtiers : impossibilité d'étendre un volume SHR du NAS principal en tant que volume unique SHR.

Une barrette de RAM alternative aux produits hors de prix certifiés Synology : l'expérience de elmer91

4- Hibernation des disques durs ou pas ? : Discussion ici et jusqu'à la fin de la page 1034

5- Migration entre deux NAS Synology

Pour migrer d'un NAS Synology à un autre, vous pouvez consulter ici la page du tuto synology pour DSM 5. Pour DSM 6, cliquez ici. Pour simplifier, il suffit de savoir qu'il faut prendre les disques d'un NAS et les remettre dans l'autre NAS (dans le même ordre selon Synology, mais selon l'expérience de certains, le sens importe peu; dans le doute, essayez de garder le même), puis installer le DSM de votre choix qui correspond à votre NAS. Le plus simple pour installer la dernière version est de passer par http://find.synology.com sur un ordinateur lorsque votre NAS est démarré et raccordé à votre réseau local. Les données sont théoriquement préservées, mais comme d'habitude, le même conseil : assurez-vous tout de même d'avoir une sauvegarde à jour. Si http://find.synology.com ne fonctionne pas, passez par le Syno Assistant.

Avertissement de xjoker : il ne faut pas changer le disque 1 d'un NAS A par un disque 1 d'un NAS B sous peine de se retrouver avec tout le système du B qui tourne sur le A mais avec 2 volumes cassés    J'ai du rechanger et prendre un autre disque dans le tas. On ne peut remplacer le disque 1 d'un NAS que par un disque sans système Synology dessus, à ce moment là, il va chercher DSM sur le disque 2.

6- Tutoriels :

Lancer la préparation Badblocks sur un ou plusieurs disques en même temps directement dans un nas qui dispose déjà de DSM installé.
Tuto de babble. Autre tuto dissident de EE8 ^_^, et version courte de Kana-Han.

Installer un certificat reconnu correctement par les navigateurs, et ainsi éviter les avertissements de sécurité https

https://docs.google.com/document/d/ [...] ERSaYr0rc/ Attention, ce tuto de MilesTEG1 n'est plus maintenu donc pas forcément à jour. Depuis DSM 6, préférer Let's Encrypt, plus simple et largement plus facile. Tuto de NextImpact : https://www.nextinpact.com/news/981 [...] nology.htm, en résumé : Ouvrir et rediriger les ports 443 et 80 (sur routeur et sur NAS), puis dans DSM > Sécurité > Certificat > Ajouter un certificat > Procurez-vous un certificat auprès de Let's Encrypt > Rentrer un NDD (ceux de synology sont ok) et une adresse mail. Et c'est tout ! exemple ici

Comment accéder et récupérer les données des disques du NAS sur un PC en cas de dysfonctionnement du NAS : Procédure Synology

Tuto pour configurer HAPROXY : mise en situation et explications, et post du tuto de Remigio

A propos de QuickConnect par Deadlock. Lire également le post d'au-dessus de EE8 qui donne un lien de configuration d'accès à distance, en prenant l'exemple de la LiveBox. A adapter à vos besoins/ports/services.

Downgrader la version de DSM installé : http://forum.hardware.fr/hfr/resea [...] tm#t880429 et http://forum.hardware.fr/hfr/resea [...] m#t916182. Attention d'après ça, le downgrade ne fonctionne plus. Edit : Fredouye nous confirme que ça fonctionne toujours sous DSM6 : https://forum.hardware.fr/hfr/resea [...] m#t1010631

Comment monter des dossiers d'autres volumes à l'intérieur des shares (dossiers partagés) existants avec la commande mount --bind : http://forum.hardware.fr/hfr/resea [...] tm#t933278

Procédure de passage d'un Raid SHR à un mode Basic : Tuto de babble pour l'exemple d'un NAS 2 baies

Exclure un disque de votre grappe Raid SHR ajouté par erreur : tuto sur cambier.org

La connexion SSH directe en tant que root n'est plus supportée depuis DSM 6 : Se connecter avec un compte du groupe admin et taper sudo -i

Utiliser WinSCP en root depuis DSM 6 :  Tuto de SanPe'

Utiliser DSM6 comme reverse proxy pour vos autres équipements réseau de la maison : Tuto de Fender. Tuto completé par InfoYANN et Ultimate tuto par Kawamashi

Augmenter la vitesse d'agrandissement d'un RAID suite à l'ajout de disques : Post d'origine, et résultats.

Installer un serveur VPN avec OpenVPN : Tuto de mulanee et super tuto de Fenrir.

Se reconnecter à distance à une tâche Hyperbackup initiée localement puis déportée dans un NAS distant : Tuto de houckaye

Remplacement ventilateur de DS210j (sans doute valable pour d'auters modèles de NAS de génération équivalente) : TOOGOO(R) 70mm x 25mm DC 12V 2W 3 Broches validé par zoidberg

Remplacement des ventilateurs 2x80mm de DS418j par des be quiet! silent wings2 : validé par kleinekrokodil https://forum.hardware.fr/hfr/resea [...] m#t1071106

Remplacement des ventilateurs 2x80mm de DS920+ par des Noctua NF-A9 FLX : validé par MilesTEG1 : https://forum.hardware.fr/hfr/resea [...] m#t1133667
 

Supprimer l'authentification en deux étapes lorsque vous avec fait une fausse manip qui vous empêche de vous connecter :
http://forum.hardware.fr/hfr/resea [...] tm#t976011 et https://forum.hardware.fr/hfr/resea [...] m#t1083202

Installation et configuration de mail plus server : Tuto de INFOYANN

Utiliser un nom de domaine OVH sur Synology avec un reverse proxy : Tuto de SanPe'

Sauvegarder les données contenues sur son NAS : Tuto de INFOYANN ou ici sur nas-forum

WOL (Wake On Lan) : réveiller un PC de son réseau local à partir du NAS : https://forum.hardware.fr/hfr/resea [...] m#t1016676

Ajouter OVH dans la liste des DDNS supportés par Synology, depuis qu'OVH a été supprimé de cette liste : https://forum.hardware.fr/hfr/resea [...] m#t1025702

Désactiver Universal Search (fait ramer les petites configs) : Tuto de InfoYANN

Installer et configurer Pi-Hole sous Docker : Tuto de Phenix21

Depuis iOS 13, on peut accéder au NAS sur son réseau local (ou via VPN, ou encore WebDAV Nav) sans passer par DS File mais directement par l'app native Fichiers : info de myzt https://forum.hardware.fr/hfr/resea [...] m#t1097978

Repasser le volume 1 (par exemple) en lecture-écriture à la suite de sa mise en lecture seule par le système pour des raisons de fiabilité, comme à la suite d'un secteur défectueux détecté par exemple :

 Attention, commande à utiliser à vos risques et périls, car si le système considère le volume comme non-fiable, c'est qu'il y a sans doute une raison... Ne pas considérer cette commande comme une réparation.

Déplacer un paquet installé d'un volume à un autre : Post de fabb24 Attention : source non supportée officiellement par Synology, à utiliser en connaissance de cause et à vos risques et périls. Pas encore supporté sous DSM 7 : voir posts de covis86 ici. Tuto en ligne de commande ici

Restaurer un snapshot BTRFS : tuto de bifidusse

Utiliser un SSD nVME des DS918 et + comme share plutôt que comme cache : lien de raptor68 et traduction, descriptions, illustrations, screenshots pas à pas de MilesTEG1 et mise à jour 2023 en attendant une mise en forme avec screenshots : https://gist.github.com/MilesTEG1/2 [...] ceaaebada1

Faire un RAID 1 hybride SSD+HDD intelligent (écriture privilégiée sur HDD et lecture privilégiée sur SSD) : tuto de raptor68

Procédure en cas de led bleue clignotante suite à l'ajout de RAM : tuto de paf27

Vérification de la RAM (suite à l'ajout d'une barrette par exemple) : Tuto de MilesTEG1

Installer Bitwarden avec une sauvegarde automatique de la base de données : Tuto de MilesTEG1

Test de débit internet Speedtest sur NAS Synology : Tuto de EVOTk

Connaître l'IP publique d'un NAS connecté via VPN : Connecté en ssh, taper :

ou

Fin de la mise à jour - janvier 2023
Toute information ci-dessous n'est pas vérifiée, et mieux vaut une pomme rouge qu’une jaune

News du 19/05/09:

cartemere nous a fait quelques petits tutos pour faire fonctionner la Freebox HD et nos Syno grâce à l'Upnp:

Créer des simlinks

Installer Ushare sur le Syno (Serveur Upnp)

Installer MediTomb sur le Syno (Serveur Upnp)

Sommaire:

• Présentation de la marque et de la gamme
• iUSB
• USB Station
• Les Disk Station DS101 Series
• Les Disk Station DS106 Series
• Les Disk Station DSx07 Series
• Les Cube Station CS407 series
• Les Syno en général
• FAQ

• Présentation de la marque et de la gamme

          Synology est ainsi un fabricant de serveurs NAS, (A ce sujet, je vous invite à vous rendre sur ce topik afin de connaître les caractéristiques générales d'un serveur de fichiers NAS). L'entreprise est basée à Tapei (Taiwan), mais exporte ses produits dans l'hexagone, grâce à des revendeurs tels que Surcouf, Rue du commerce, ou des magasins de vente par correspondance moins connus tels que MacWay ou e-Network à Grenoble.

         La principale caractéristique d'un serveur NAS est sacapacité à stocker des fichiers, mais nous allons voir que les Synology offrent des fonctionnalités bien plus puissantes & intéressantes qu'un simple service de stockage d'informations. Les différents produits de la marque se partagent entre 2 grandes catégories: La gamme destinée au profesionnels et la gamme orientée davantage grand public & petites entreprises.

• iUSB

          L'iUSB est un produit un peu particulier au sein de la gamme de Synology car ce n'est pas un boitier réseau NAS. Il s'agit simplement d'un boitier pouvant accueillir un disque dur 2,5" (Pour les ordinateurs de portable). Nous ne nous attarderons donc pas dessus, bien qu'il puisse être utilisé en complément d'un boitier NAS Synology.

         - Photos

         - Caractéristiques détaillées

         - Démonstration Flash

• USB Station

          Grâce à l'USB Station, nous arrivons progressivement vers ce qui est le sujet principal de ce topik: Les boîtier NAS Synology. L'USB Station est en fait un boitier NAS mais sans espace de stockage. Ce matériel est prévu pour être branché à un disque dur externe en USB2 afin de pouvoir partager ce dernier sur un réseau local. Il peut également faire office de serveur d'impression puisque il dispose d'un second port USB, pouvant accueillir une imprimante.

         - Photos

         - Caractéristiques détaillées

         - Démonstration Flash

• Les Syno en général

     - Les Liens

         - www.synology.com (Site officiel)
          - www.nas-forum.com (Communauté Française Synology)
          - tutosyno.webdynamit.net (Ressources & News pour votre Synology)
          - Les revendeurs Synology

• FAQ

     Les matériels compatibles ?

         - Les Disques Durs Compatibles ?
          - Imprimantes Compatibles
          - Quels Dma (lecteur Mutlimédia) Sont Supportés ?
          - Haut Parleurs Et Cartes Son Usb Pour Le Audiostation
          - Caméras Ip Pour Surveillance Station
          - Compatibilité Des Onduleurs

    Bootstrap, IPKG ...

         - 900 Packages Pour Le Bootstrap 107+/207+/407
          - Installation Du Bootstrap Sur Les Nas Synology
         

pour ce besoin là, au lieu d'un navigateur dans le navigateur, en théorie haproxy permet d'y répondre en utilisant les sous-domaines, mais si j'ai réussi a faire passer tous les services possibles du syno via des sous-domaines en https, j'ai pas réussi à mapper des ip du réseau interne de la même façon. j'ai du louper un truc dans la doc parce que normalement, c'est possible...
c'est aussi possible en scriptant, y'a eu un lien ici-même il y a quelques mois vers une méthode pour accéder à ce qu'on veut depuis une adresse en sousdomaine.domaine.tld (ou depuis sousdomaine.pseudosyno.synology.me pour ceux qui utilisent les domaines synology)

J'ai regardé du côté de haproxy en effet, ça m'a semblé trop compliqué pour le besoin.
Sinon, s' il était possible d'avoir deux dhcp sur le réseau, avec celui du syno en secondaire.

J'ai enfin réussi à faire marcher haproxy correctement !
C'est GE-NIAL.
Toutes mes applications et même d'autres machines de mon réseau sont maintenant disponibles simplement en tapant appli1.mondomaine.fr
appli2.mondomaine.fr
etc.
et avec passage auto au SSL s'il vous plait

y'a un topic sur nas-forum (chercher "haproxy" ) et je peux aider pour compléter.

En gros, c'est très simple haproxy écoute sur les ports 5080 et 5443 pour faire du http et du https, ça s'appelle les frontends
derrière, tu as des backends qui orientent vers une adresse et un port en fonction du sous-domaine et enfin des associations.
Perso, je n'utilise que le frontend ssl car le port 80 est utilisé par des applis web normales
sur le routeur ou la box, tu mappes le port 443 vers le 5443 du syno. ça te permet déjà d'accéder à ce que tu veux en commençant par https://appli1.mondomaine.com

Ensuite, ce que tu trouveras pas sur le topic de nas-forum, c'est la petite redirection qui permet de taper l'adresse sans le https:// mais qui l'ajoute tout seul, que je peux vous donner/expliquer sans problème si c'est nécessaire

 
Regarde du côté de haproxy, configurable directement depuis le dsm et pré configuré pour beaucoup de services  

si mais ça t'oblige à mettre toi même le https devant.
les sites qui passent en https automatique sur l'url sans http(s), c'est juste qu'ils font une redirection http->https
je fais ça d'ailleurs, en fait, mais c'est une configuration plus complexe (j'utilise haproxy)
maintenant, photostation, c'est une appli web, c'est pas illogique d'y accéder en http.
ton port 80 est fermé carrément ? t'as ouvert que le 443 ?

pour les ceusses qui utilisent haproxy et sickbeard comme paquets tiers, ça marche sans aucun problème. Plex est par contre incompatible, faut attendre une màj.

attention à la mise à jour de php : certaines fonctions sont deprecated ce qui peut occasionner quelques erreurs...

Rien ne t'empêche de router le port 80 vers ton port 5001 si tu n'as pas d'autre site, mais ca va t'empêcher d'utiliser photo station notamment.
Tu peux aussi router le 443 vers le 5001, tu devras mettre le https, mais plus besoin d'écrire le port dans l'url et tu laisses le port 80 libre pour photo station pu toute appli web que tu installerais ultérieurement.
Sinon, pour finir, il y a haproxy qui permet d'associer un sous domaine à chaque appli dont dsm, audio station etc. Et qui permet de se passer du s et du port mais la mise en œuvre est un tout petit peu plus compliquée (pas vraiment compliquée mais mal documentée. MP si besoin)

C'est plus propre et simple de gérer ça côté routeur + haproxy, sinon, ça va foutre le bordel sur le syno (chaque application a son port et si tu mélanges ça va merder)

Je crois bien
 
Non mais t'as bien cerné le truc et HAProxy colle parfaitement. Faut juste que je dégage un peu de temps pour m'y mettre

En fait, pour résumer, voilà mon raisonnement :

Ce qui existe :
http://mondomaine.com:5000 pour le dsm.
http://mondomaine.com/photo/ pour photo station par exemple.

Je me dis :
Ah oui mais non, ça passe par le protocole http, donc tout en clair et on peut par exemple intercepter mon mot de passe.
Je vais activer https  

Je fais :
activation https pour avoir :
http://mondomaine.com:5000
https://mondomaine.com:5001
http://mondomaine.com/photo/

Je me dis :
Ah oui mais ça n'empêche pas un utilisateur de se connecter en http, faudrait le forcer à se connecter en https !  

Je fais :
Rediriger les connexions http vers https
http://mondomaine.com:5000 => redirige vers https://mondomaine.com:5001 dans la barre d'adresse du navigateur
https://mondomaine.com:5001
http://mondomaine.com/photo/

Enfin, c'est ce que je pensais. Si je ne mets pas le https ni le port 5001, chez moi ça ne fonctionne pas.

Quand bien même ça fonctionnerait, j'aimerais m'affranchir de la saisie du port et du s de https.

=> si j'écoute sur le port 80 au lieu de 5000 ou 443 au lieu de 5001, ça va fonctionner (pour la non saisie du port). Mais pas les autres applis web comme http://mondomaine.com/photo/ par exemple. (pareil avec du port forwarding).

Solution 1 : je fais des règles de routage ou des alias dans la config httpd.conf d'Apache.
Solution 2 : j'utilise un reverse proxy en local ou HAProxy. Plus propre, ça me permettra de bien gérer mes url proprement, de tout passer par le port 80 et 443 ce qui me permettra de fermer tout les autres ports et gâteau sur la cerise, y accéder du boulot vu que seuls les ports 80 et 443 sont ouverts au taf  

Voilà ce qui me mène à choisir cette solution. Je fais peut être fausse route, mais avec du forwarding de port ou du listening sur le 80 ou une redirection http=>https, j'ai pas l'impression que ça réponde à tous mes voeux.

il a haproxy, il a tout compris

Ce n'est pas parce que ce port est indispensable pour le syno qu'on doit forcément l'écrire dans la barre d'adresse du navigateur, on peut écrire autre chose
avec haproxy, j'accède en https à l'ensemble des applications que j'utilise (hors services purs web qui restent accessible de façon classique par port 80) :
audio.mondomaine.fr => audiostation
dsm.mondomaine.fr => dsm
download.mondomaine.fr => download station
je vais même plus loin, le syno avec haproxy installé et configuré me permet même d'accéder à d'autre appareils de chez moi, depuis l'extérieur
alarme.mondomaine.fr => mon alarme
cam1.mondomaine.fr => cam de surveillance 1
netatmo.mondomaine.fr => station netatmo
remdesk.mondomaine.fr => un pc en remote desktop
et tout ça au travers d'une connexion sécurisée avec un certificat auto-signé.

Fender, c'est quoi ton truc pour te passer du s de https avec haproxy ?
Tu utilises le frontend https ou https ?
 
T'as un certificat ssl pour chacun de tes sous domaines ?

Si c'est important pour vous, faut changer de fusil d'épaule : si je ne m'abuse, haproxy permet aussi de gérer des URL en mondomaine.fr/nomapplication/ pour remplacer mondomaine.fr:5433
Et la, un simple certif start suffit

Si tu captes pas c'est que t'en a pas besoin
 
Bon, après réflexion, je vais laisser tomber ma première idée d'accéder à mes applis par sous domaine.  
L' idée c'était surtout de s'affranchir de la saisie du port dans l'URL et surtout de tout passer par le port 80 ou 443 qui sont les seuls accessibles au boulot.
L'installation des certificats auto signés sont une bonne solution mais l'installation sur chaque accesseur client m'ennuie un peu.
 
Je pense donc plutôt m'orienter, toujours avec HAProxy, plutôt vers une méthode https://mondomaine.com/dsm,  https://mondomaine.com/audio etc ...
 
 
Voilà ce que j'ai fait pour audio :
 
1/ Dans le portail des applications, j'ai activé le port 8801 pour l'appli Audio Station. Je n'ai pas mis d'alias
 
2/ Dans HAProxy, J'ai donc modifié mon association https/audio avec la condition if { path_beg /audio }
 
3/ Dans HAProxy, j'ai modifié le backend audio.
Serveur : audio localhost:8801 check
Options : reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 => pour par qu'il redirige le /audio/ de l'url qui me sert d'identifiant, je remplace la chaine par /
 
Sur le papier, tout me semble bien mais quand j'essaye d'accéder à https://mondomaine.com/audio, j'ai une 404
 
Une idée de ce qui pourrait clocher ?

bouton "écrire la configuration" dans haproxy
(par contre, j'ai pas compris ton option de backend et du coup, je peux pas te dire si ça marche...

Bon, je suis de retour avec mes certificats
 
Finalement, j'ai pas opté pour un wildcard.  
J'ai opté pour haproxy avec la technique
https://mondomaine.com => pointe vers dsm
https://mondomaine.com/audio => Audio station
https://mondomaine.com/file
 
Et ainsi de suite. Ca marche très bien. J'ai enregistré mondomaine.com gratuitement chez startssl et j'ai récupéré tous les fichiers : certificat, clé privée, certificat intermédiaire (propre à startssl pour lui et non à mon domaine c'est bien ça ?).
 
J'importe tout ça dans DSM, ça semble fonctionner :
 

 
 
Sauf que quand je me connecte en https, j'ai toujours le warning ...
 

 
 
Une idée de ce que je fais mal ?

Et quand tu cliques sur le petit cadenas pour en savoir un peu plus sur ce qui pose problème ?
 
Qui plus est, vu que tu utilises haproxy au milieu, j'imagine qu'il faut aussi le configurer avec la clef et le certif, l'as-tu fait ?

J'ai écrit domaine pour simplifier mais c'est effectivement un sous domaine.

L'identité de ce site Web n'a pas été vérifiée
* Le certificat du serveur ne correspond pas à l'URL
* Le certificat du serveur n'est pas approuvé

Effectivement, je n'ai pas mis le certificat au niveau de HAProxy ! Mais je ne vois pas comment en fait

haproxy utilise la clé définie dans le paramétrage syno, me semble (en tout cas, pour le certif auto-signé, ça fonctionne comme ça)

Sur l'onglet d'accueil HAProxy, à côté de boutons d'écriture de la configuration et de réinitialisation des paramètres par défaut.

 
Peut être parce que j'avais bidouillé en important d'autres certificats auparavant. Il a peut être récupéré la première fois seulement.

Si tu peux reprendre une explication détaillée sur Haproxy ça m'intéresse fortement (j'ai essayé de recoller les bouts avec tes derniers posts mais une récap ne serait pas de refus )

 
Bah j'ai passé l'étape du certificat créé mais il me reste l'essentiel, l'installation de Haproxy et sa configuration C'est un paquet qui se trouve sur quelle source ? Fichier de config à éditer à la mano, via une interface ? etc

Tu trouveras le paquet haproxy sur synocommunity.com.
Il faut ajouter la source dans dsm, c'est très bien expliqué dans la FAQ http://www.synocommunity.com/faq
 
Ensuite, tu installes HAProxy, puis ... Ca fonctionne. C'est très intuitif je trouve.

Bon, comme demandé, voici un petit récap' de ce que j'ai fait.
Je tiens juste à préciser que je ne suis pas spécialiste en réseau et que je vais surement écrire quelques conneries, merci de me corriger si je me trompe.

1/ Etat des lieux (dans le cas d'un syno branché sur le réseau local via une box internet)
Par défaut, si on ne fait rien un boitier syno n'est pas accessible de l'extérieur.
Depuis le réseau local, on y accède par exemple par des adresses http://ip_locale:5000 avec ip_locale dans le genre 192.168.0.1

5000, c'est le port, c'est à dire la porte d'entrée de votre boitier syno.

2/ Rendre le nas accessible de l'extérieur
Depuis l'Internet (donc pas au sein du réseau local), il faut passer par l'adresse ip publique, celle qui pointe vers votre box. Par exemple 88.191.0.1
http://monip.org pour la connaître. On passe donc par le port 5000, ce qui donne http://88.191.0.1:5000

Problème : 5000, c'est la porte d'entrée sur le nas, pas sur la box. Donc ça ne mène nulle part. Il faut configurer sa box pour lui dire que s'il l'on reçoit des requêtes sur le port 5000, il faut la transférer au nas 192.168.0.1, sur le port 5000.
On pourrait très bien lancer une requête sur un autre port http://ip_publique:8080 et spécifier à la box que toutes les requêtes qui arrivent sur le port 8080 doivent être renvoyées au nas sur le port 5000.

http://ip_publique:8080 => http://ip_locale:5000.

De même, 5000, c'est le port par défaut sur lequel le nas écoute. On peut très bien le changer. Comme d'ailleurs tous les numéros de port spécifiés dans ce texte.
Pour router les ports de votre box, je vous renvoie à la notice

3/ Utiliser un nom de domaine.
Entrer une adresse ip pour accéder à votre nas, c'est pas forcément sympa, surtout si vous devez communiquer l'adresse à des amis. On peut acheter un nom de domaine. Il en existe dans tous les prix, même des gratuits. Je vous laisse chercher le fournisseur qui vous convient le mieux, c'est pas ça qui manque.

Il faut configurer chez votre fournisseur de nom de domaine (ndd) vers où va pointer votre ndd. Il faut indiquer l'IP publique de votre box.
par exemple : mondomaine.com => 88.191.0.1

A noter que si vous êtes connectés à l'Internet sur votre réseau local, vous pouvez donc utiliser http://mondomaine.com:5000 pour accéder au nas depuis chez vous comme de l'extérieur.

Dans mon cas, il se pose ensuite deux problèmes :

• La sécurité
• Au boulot, ma connexion ne peut communiquer que sur les ports 80 (http) et 443 (https). http://mondomaine.com:5000 ne fonctionne pas. Je pourrais faire écouter ma box sur le port 80, mais ça m'ennuie car le voudrais l'utiliser pour d'autres choses et ne pas le sacrifier.

4/ Sécuriser sa connexion.
On accède au nas depuis l'exétérieur, c'est bien joli, mais comme vous êtes ouverts à l'extérieur, il faut savoir qu'il y a des méchants qui pourraient

• Tenter de s'introduire chez vous
• Intercepter les données que vous envoyez au nas depuis l'extérieur, ou inversement les données que votre nas envoie à des utilisateurs pourtant authentifiés
• Se placer entre le nas et l'utilisateur distant et se faire passer pour l'un ou l'autre. Par exemple, l'utilisateur croit qu'il parle au nas, mais en fait c'est un vilain qui se fait passer pour lui. Vous lui balancez plein d'infos.

Il ne faut pas tomber dans la paranoïa, mais un minimum de protection est nécessaire. Si vous laissez votre vélo dans Barbes, vous avez de fortes chances qu'on vous le vole. Avec un petit antivol décathlon, moins. Avec un gros U de moto, presque aucune chance. Mais de toute manière, si on veut vraiment voler votre vélo, quelque soit l'antivol, on y arrivera, ça prendra juste plus de temps et de moyen. La question est de savoir qui et pourquoi quelqu'un mettrait des moyens énormes pour braquer votre pauvre machine avec des photos de vacances. Et si c'est le cas, je pense que vous avez des problèmes plus importants à régler que la sécurisation de votre nas et que vous n'en êtes pas à lire un tuto de noob

On va donc régler tout ça en cryptant les informations qui circulent et en authentifiant les acteurs.

Pour le cryptage, il suffit (grossièrement ) de passer par une connexion sécurisée cryptée. En général, les ports par défaut http et https sont respectivement 80 et 443. Dans les normes, ils sont quasiment toujours configurés comme implicites. Ca veut dire qu'on a pas besoin de les saisir. http://google.fr:80 par exemple.

Nous, on va donc passer toutes nos requêtes sur le port 443 via le protocole https. On fait donc écouter la box sur le port 443 qu'on transfert vers le port 5000 du nas (pour le moment). Et on ajoute un s à http.

Ce qui donne https://mondomaine.com.

Mais là, votre navigateur devrait vous donner un message d'avertissement en vous spécifiant que ok, la connection est cryptée, mais on est pas surs de qui est en face. Est-ce vraiment bien votre nas et pas un vilain qui intercepte la connexion ?

Petit rappel sur le cryptage :

Alice veut envoyer un message à Bob.
Alice ==> "Bonjour Bob" ==> Bob.

Alice veut crypter le message pour que personne ne l'intercepte. Elle créé un algorithme qui va encoder le message grace à une clé privée. Cette même clé sert aussi à décoder le message. Les deux interlocuteurs la possède.
Alice crypte "Bonjour Bob" + "cle" = "XrezjIN"
Alice envoie "XrezjIN" à Bob
Bob connait "cle" et "XrezjIN", il arrive via l'algo à déterminer le message "Bonjour Bob"

Il se pose deux soucis :

• Comment diffuser la clé à notre interlocuteur sans qu'on la vole.
• Si on a plusieurs interlocuteurs, par exemple Bob et Charlie, alors les deux possèdent la même clé et peuvent décoder le message de l'autre. Mais ce que Charlie raconte à Alice, on a pas forcément envie que Bob le sache, surtout si les interlocuteurs ne sont pas des amis que vous connaissez, comme un site de vente en ligne qui discute avec des milliers de clients. Si un client communique ses coordonnées bancaires, il veut bien que le site marchand les lise, mais pas les autres clients.

On utilise alors le cryptage avec une clé privée et et une clé publique. Alice est la seule à posséder la clé privée. Elle distribue une clé publique différente à tous ses interlocuteurs.
Ainsi, Alice peut écrire un message, le crypter avec sa clé privée et il sera lisible par toutes les clés publiques. Mais si Bob décide d'écrire à Alice, il crypte son message avec sa clé publique. Alice est capable de décrypter toutes les clés publiques avec sa clé privée. Charlie ne peut décrypter que la clé privée d'Alice mais pas les clés publiques des autres.

Alice crypte "Bonjour Bob" + "cle privée" = "XrezjIN"
Alice envoie "XrezjIN" à Bob
Bob connait "cle public de bob" et "XrezjIN", il arrive via l'algo à déterminer le message "Bonjour Bob"

Bob veut envoyer "Bonjour Bob" à Alice :
Bob crypte "Bonjour Bob" + "cle publique" = "sdZEe" (différent de "XrezjIN" vous noterez !)
Alice connait "cle privée" et "sdZEe", elle arrive via l'algo à déterminer le message "Bonjour Bob"
Charlie connait "cle public de Charlie" et "sdZEe", l'algo va lui donner n'importe quoi "zregry"

Les certificats reposent sur ce principe.
Alice, c'est le nas, Bob et Charlie, ce sont les navigateurs depuis lesquels vous vous connectez au nas.
On peut générer un certificat via le DSM dans "Paramètre de DSM" -> "Certificat" -> "Créer un certificat".
Une fois qu'il est créé, il faut l'exporter (bouton "Exporter le certificat" ). Et sur les machines qui veulent se connecter, on doit importer le certificat que vous venez d'exporter. Sur mac, c'est un "trousseau" propre à l'OS qui gère les certificats. Sur Windows, c'est chaque navigateur qui doit importer le certificat.

Une fois que c'est fait, vous n'avez plus de warning, vous êtes surs de parler à votre nas et que ce qui se dit entre vous est crypté et ne peut pas être décrypté par quelqu'un d'autre. C'est ce qu'on appelle un certificat auto-signé (signé par vous même sur votre nas).

Ca marche bien mais le souci, c'est qu'il faut enregistrer tous les postes/navigateurs clients un par un. Si vous donnez l'url https://mondomaine.com/photo/ à votre grand mère, elle va tomber sur le warning et se dire "houla un virus, j'ouvre pas". Pas top.

La solution c'est de passer par un certificat d'un tiers de confiance. C'est à dire un organisme connu de tous qui a des accords avec à peut près tous les navigateurs etc. C'est donc à lui qui vous demandez de créer un certificat.

Comment créer un certificat chez startSSL => http://furie.be/news/33/15/Synolog [...] ifiee.html

Il vous fourni une clé privée et un certificat que vous devez importer dans "Paramètres de DSM". Cette fois-ci, pas besoin d'exporter car le navigateur client qui se connecte à votre nas reconnait que c'est un certificat fourni par startSSL et les clés publiques sont déjà paramétrées.

C'est gratuit pour les certificats de classe 1. On aurait tort de s'en priver. Par contre, il faut les renouveler tous les ans. startSSL fourni des certificats uniquement sur les sous domaines en classe 1 (info à confirmer). On doit donc créer chez son fournisseur de domaine un sous domaine. Par exemple nas.mondomaine.com
C'est en général gratuit et immédiat.

Bon, on arrive à accéder à notre nas depuis l'extérieur, via un nom de domaine, sur une connexion sécurisée et sans message d'avertissement via https://nas.mondomaine.com:5001 mais :

• C'est embêtant de rentrer le numéro de port
• Je voudrais passer toutes mes requêtes par le port 80 ou 443 pour y accéder du boulot.

5/ Router ses requêtes avec HAProxy
Ce qu'on veut faire :
plutôt que taper https://nas.mondomaine.com:5000 ou https://nas.mondomaine.com:8800 pour audio par exemple, on veut taper https://dsm.mondomaine.com et https://audio.mondomaine.com

Tout passe par le port 443, donc on n'a pas besoin de l'écrire.

Première étape : Installer HAProxy.
C'est un paquet distribué par SynnoCommunity. Pour savoir comment installer le paquet => http://www.synocommunity.com/faq

Deuxième étape : routage des ports de la box.
On ne va plus s'embêter à router les ports de toutes les applications de la box vers le nas. On va juste router 80 et 443 vers les deux ports d'écoute d'HAProxy sur le nas, respectivement 5080 et 5443.

On va également activer les ports http et https de chaque application avec qui on veut communiquer. 8800 et 8801 pour audio par exemple.

Et là, comme par magie, vous verrez que sans rien faire, les adresses https://audio.mondomaine.com, https://dsm.mondomaine.com, https://file.mondomaine.com etc... fonctionnent.

Dans sa configuration de base, HAProxy repose sur 3 notions :

• Les frontends. Ce sont les requêtes qu'il reçoit
• Les backends. Ce sont les services à qui il communique
• Association. C'est ce qui sert à associer un frontend à un backend en suivant une certaine règle.

Dans la configuration par défaut il y a deux frontends : http sur 5080 et https sur 5443. Il y a aussi une multitude de backends qui correspondent aux appli de DSM.
Pour chaque backend, il y a une règle d'association écrite :

par exemple frontend https, backend audio, condition if { hdr_beg(Host) -i audio. }
Littéralement, ça veut dire que si la requête accueillie par https sur le port 5443 vient d'un nom de domaine qui commence par audio. alors, on fait on renvoie ça à l'appli audio.

https://dsm.mondomaine.com => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:5000 (comme ce qu'on tapait tout au début)
https://audio.mondomaine.com => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800

En rouge, la communication cryptée.

C'est pas plus compliqué que ça. Pas de configuration manuelle dans des fichiers, tout se passe sur la petite interface HAProxy.

Là on est pas mal, mais on a un petit souci encore. On travaille sur des noms de domaines dsm.mondomaine.com ou encore audio.mondomaine.com et ainsi de suite. Mais chez startSSL, on a fait un certificat pour nas.mondomaine.com uniquement. Ce qui fait qu'on se tape des warnings "interlocuteur non identifié".

Solution 1 : Souscrire à un certificat wildcard chez startSSL. C'est payant, une 50aine d'euro pour deux ans. Il faut envoyer ses documents d'identité scannés etc. Ensuite on peut enregistrer autant de sous domaines qu'on veut.

Solution 2 : On renonce à la classieuse écriture du type https://audio.mondomaine.com et on passe à https://nas.mondomaine.com/audio,  https://nas.mondomaine.com/dsm,  https://nas.mondomaine.com/video ... là, pas de problème de certificat vu qu'on tape toujours sur le domaine  nas.mondomaine.com

Mais du coup, il faut changer les règles d'association d'HAProxy. On ne va par regarder le début de l'host mais le path. C'est à dire le chemin spécifié après le domaine.

On modifie frontend https, backend audio, condition if { hdr_beg(Host) -i audio. }
par frontend https, backend audio, condition if { path_beg /audio }

attention, il faut bien cliquer sur "Ecrire configuration" à chaque changement pour que ce soit pris en compte.
Mais ce n'est pas encore tout à fait bon parce que voilà ce qu'il va se passer :

https://nas.mondomaine.com/audio/ => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800/audio/

Ce qui va donner une belle page d'erreur 404. Ce qu'on veut nous, c'est ça :

https://nas.mondomaine.com/audio/ => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800

Donc dans le backend audio, on va écrire une règle pour qu'il remplace /audio/ par / et si on a une adresse https://nas.mondomaine.com/audio/quelque/chose/ ca donnera  http://192.168.0.1:8800/quelque/chose/

On ajoute reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 au backend audio. Et on fait de même pour tous les autres backends que l'on veut utiliser.

Attention, audio, c'est facile parce que la page par défaut, c'est / et pas /quelque/chose/. Donc ça fonctionne. Dsm par exemple, la page par défaut, c'est /webman/index.cgi et là ça ne fonctionne plus, vous avez une page 404.
Pour ça, j'ai rusé, je n'utilise pas https://nas.mondomaine.com/dsm/, j'ai juste indiqué au frontend https que par défaut, s'il ne trouve rien dans les règles d'association, il doit appliquer le backend dsm. Du coup, j'utilise https://nas.mondomaine.com/ pour accéder au dsm.

Si vous avez d'autres applis qui fonctionnent comme ça, il faut trouver dans les options la valeur de home root et la remplacer par /

Merci beaucoup!
J'ai bien compris ce que faisais HAProxy grâce à toi, et ça a confirmer mes connaissances sur les redirections de ports.

Merci pour les explications.
 
Ne peut on pas générer plusieurs certificats pour chaque sous domaine avec startSSL et se passer ainsi de http://ssdomaine.domaine.com/audio et passer par http://audio.domaine.com/ avec le certificat, même si on doit en faire a chaque fois un nouveau par sous domaine ?
 
Je n'ai pas vu l'endroit dans le tuto où il faut appuyer sur la génération de certificat sous HAProxy, mais j'ai p'tet loupé le passage .

Sauf si tu as plusieurs IP publiques non. Enfin faut voir si haproxy gère le SNI (et que les clients le gère aussi) alors ça serait possible mais sinon non faut un wildcard car tu ne peux binder qu'un certificat à un port.

j'avais vu passer une explication sur haproxy plutôt bien faite sur le topic, mais je ne la retrouve pas... Quelqu'un aurait bookmarké ça ?

j'ai voulu me passer de haproxy en DSM 5, impossible de créer un virtualhost apache fonctionnel sur le port 443 qui redirigerait vers l'interface d'admin

 
Je reviens sur HAPROXY, quelle config utilises tu pour faire focntionner le RDP avec HAproxy. Je n'y arrive pas
 
Merci
 

HAproxy est pas mal pour ça, on ouvre juste les ports 5443 et 5080 sur la box et derrière on peut faire passer tous les services qu'on veut.
Jamais eu de tentatives d'intrusions en plus d'un an.

Bon, finalement j'ai utilisé haproxy.
Je l'avais installé, j'avais configuré les ports dans la box, mais j'avais pas fait comme il faut pour bien le faire fonctionner. Après quelques essais et erreurs, ça marche.
 
merci!

Hop, je rebondis sur haproxy:
Est il possible de sécuriser par login l'accès donné par haproxy?
Si par exemple je veux accéder à:
Service.MonSyno.synology.me, que ce service de mon réseau local n'a pas de login, j'aimerais qu'avant que la redirection haproxy se fasse, mettre en place un login.

Ou sinon un bête haproxy avec redirection du port 443 en externe vers 5443 en interne

Hello,
 
 je continue farfouiller mon NAS, cependant je bloque, ça depasse un peu mes compétances.
 
 J'ai un nom de domaine chez OVH => mondomaine.fr
j'ai creer un DynHOST => livebox.mondomaine.fr qui pointe vers mon IP public (dyndns ok dans DSM)
 
J'ai cré deux champ de pointage CNAME => dsm.mondomaine.fr vers livebox.mondomaine.fr
 
________________________________ => www.mondomaine.fr vers livebox.mondomaine.fr
 
 
J'ai fait pointer mon champs .mondomaine.fr vers mon IP public (TYPE A) ( je ne sais pas si c'est vraiment utilile vu que mon IP change)
 
 
Je voudrais acceder via dsm.mondomaine.fr à l'interface DSM de mon NAS et via www.mondomaine.fr a mon site hebergé sur le NAS dans un premier temps en http pour les deux.
 
Donc redirection de 80 vers 5080 sur le routeur.
Ouverture du port 5080/5000 sur le firewall du NAS.
 
Configuration de HAProxy:
 
frontend => par défaut, j'ai juste supprimer le backend par défaut qui été "web" )
 
backend => par défaut également sur dsm ( dsm localhost:5000 check)
association => frontend http backend dsm if { hdr_beg(Host) -i dsm. }
 
En tapant http://dsm.mondomaine.fr
 
normalement je devrais tomber sur le message d'erreur qui me dit que cette page n'autorise que les connexion https, mais je tombe sur mon site web... (j'ai desactivé la redirection automatique dans DSM, mais j'ai activé HTTPS)
 
Chose étrange, la toute premiére fois ca a marché, mais plus maintenant, par contre quand je tape www.mondomaine.fr ca marche, j'arrive bien sur mon site web.
 
Une idée ?
 
Merci d'avance.

 
T'as le droit à "domaine.fr" + un sous domaine (typiquement "www.domaine.fr" )
 
J'utilise un certif startSSL avec haproxy et pour tout ce qui commence par "domaine.fr" ou "www.domaine.fr" je n'ai pas l'avertissement mais bien un petit cadenas vert dans la barre d'adresse.
 
Du coup j'ai configuré haproxy pour utiliser le format "https://www.domaine.fr/tvheadend" ou "https://www.domaine.fr/nzbget" et tout roule

ok, je vais attendre gentillement alors.
 
Sinon j'ai réussis a m'en sortir avec haproxy tout fonctionne comme je veux.
Sauf que j'avais pas penser au appli mobile DS (ds audio, ds video...) ducoup plus aucune ne marche vu que j'ai fermer tout les ports de la box... (sauf 443 vers 5443 et 80 vers 5080)
Elles ont besoin du port 5000/5001...
 
Une idée ?

 
haproxy
 
Du monde arrive à faire fonctionner shellinabox avec haproxy ?

Je sais pas comment se configure haproxy mais avec le reverse proxy apache je l'ai configuré comme ça:
 

 
j'ai un petit soucis avec haproxy, j'avais bien réussis à le faire fonctionner, mais cela ne marche plus mnt , je ne sais pas pourquoi  
enfin juste avec gateone et mon site web sur le nas
 
Impossible de me co au dsm, audio et video.
 
Voila ma conf:
 

 
nas.mondomaine.fr me renvois une page non trouvable mais me dirge bien en https://nas.mondomaine.fr/webman/index.cgi
nas.mondomaine.fr/audio/ me renvois une page plage, mais charge un truc
nas.mondomaine.fr/video/ idem.
 
nas.mondomaine.fr/web/ OK
nas.mondomaine.fr/gateone/ OK
 
Qu'est ce qui foire dans ma conf ?
 
 
 
EDIT: J'ai tester en repassant en mode => audio.mondomaine.net, idem, ecran blanc, mais la redirection vers https se fait bien et ca fait mine de charger qqch puis page blanche...
 
Je ne comprends vraiment pas le soucis, surtout que ca marcher bien avant. Et que ca fonctionne pour gateone et mon site web...    

Je viens au news, j'ai un peu avancer, j'ai repris toute la conf de haproxy à la mano, etape par etape.
 
Tout marche enfin mais...
j'ai le DynHOST de Synology.
 
j'ai un DynHOST chez OVH => livebox.mondomaine.fr vers mon IP.
+ 2 CNAME (entre autre) configurer dans ma zone DNS:
nas.mondomaine.fr => livebox.mondomaine.fr
www.mondomaine.fr => livebox.mondomaine.fr
 
Jusque là OK.
 
avec le dynhost de syno, tout est ok, j'accede a mes appli via le path.
 
avec le dynhost de ovh, tout est ok, sauf pour acceder à mon serveur web...
 
j'en deduis que le soucis vient de ma zone DNS chez OVH.
Mais je ne vois pas d'où, sachant qu'en plus avant j'arrivais à acceder à mon serveur web par nas.mondomaine.fr/web/ maintenant j'ai un erreur "page introuvable" renvoyer par le serveur web du synology, donc je tape bien dedant, mais pas à la bonne page alors qu'avec le dynhost de synology ca marche nikel.
 

Hello,
 
Est-ce que certains d'entre vous utilisent le package Synology Proxy Server ?
 
Est-ce qu'il peut avoir le même usage que HaProxy, à savoir si j'ai bien compris, la possibilité d'accéder à l'ensemble des services du NAS via un seul et même port ou bien n'ai-je rien compris ?
 
Merci à tous de vos feedbacks !

 
Tu à Haproxy qui semble faire cela bien aussi... C'est un package a installer... faut que j'essaie...

Merci pour ce tuto sympa et très précis, je l'avais dans mes favoris . J'aurai quelque questions...

Cependant, je n'ai pas trop compris l'expression reg... peux tu l'expliquer ?

Pour ta dernière phrase (en bleu ci dessus), je n'ai pas compris le rapport entre une URL originale de la forme /toto vers /quelque/chose/ et la diriger sur la bonne application si on a deja l'astuce de diriger le nom de sous domaine vers le DSM par defaut.

Depuis le temps, est il possible d'après toi de lire /DSM et de le remplacer par une chaine de caractère en dur dans la config Haproxy pour remplacer par webman/index.cgi?

Je crois qu'on peut aussi mettre un .htacces sur Haproxy afin de protéger les applis/pages sans login sur le NAS ou celle que l'on veut protéger... Je n'ai pas encore creusé et je en sais pas si c'est applicable au backend près...
Je n'ai pas trouvé de blocage IP sur des tentatives répété de pages non existantes... Ça existe a quelque part dans la configuration ?

PS : je suis comme toi, je ne vais pas passer par un wildcard encore... Et je pense utiliser le sous domaine www.domaine.fr pour être plus propre avec des path derrière.

Cette merveille :

(Castlenet CBV734EW)
 
J'ai laissé tombé HaProxy, j'ai bidouillé un proxy apache, ça marche à peu près (j'ai constaté qq trucs louches sous videostation par ex.). A peaufiner.

Pareil, aucune IP bloquée (config par défaut à 5 tentatives sous 5 minutes et pas de géolocalisation activée) alors que j'ai une palanquée de services qui tournent et qu'ils sont tous accessibles depuis l'extérieur.
 
Avec HAProxy, il y a juste besoin d'ouvrir deux ports, et ils ne doivent pas rentrer dans les ports scannés en standard par les piratins.

Hello,

j'ai un petit pb de configuration de reverse proxy, j'ai installé HAProxy sur mon synology, modifier les différents ports de la config pour matcher avec mes services.

Tout fonctionne bien : https://dsm.XXXX.synology.me retourne bien vers l'interface DSM,
https://transmission.XXXX.synology.me pareil cava bien sur transmission

parcontre impossible de faire fonctionner sickbeard (pourtant la config ma parait correct) je suis redirigé vers le backend par default (webstation).

Une idée ? ou sont les logs de redirection d'haproxy ?

merci d'avance.

Edit: Okay je suis un gros noob..pas vu qu'il fallait appuier sur le bouton "Ecrire Configuration"

 
J'utilise HAProxy pour ça, fourni par synocommunity

Merci pour haproxy ca marche
J'ai suivi ce tuto
http://www.nas-forum.com/forum/top [...] r-le-fofo/

Bonjour,  
j'essaye, via haproxy, d'acceder a mon interface dsm ou a gateOne.  
A partir de mon dydns https://xxx.domaine.synology.me avec xxx étant dsm ou gateone, j'arrive bien sur les applications voulues.  
Par contre, j ai également un domaine chez ovh, en dyndns toujours (merci la livebox). Ce dynsns est en dsm.domaineovh.eu, var j'ai également des declarations de type A vers d'autres serveurs.  
Comment faire pour accéder de la même manière que via www.domaine.synoogy.me via mon domaine ovh ? (je dois utiliser ovh car je n'ai pas acces aux synology.me a partir du taff)
Merci pour votre aide

Il faut juste déclarer les CNAME de tes sous domaines dans ta zone dns et utiliser les mêmes que dans la gestion des sous domaines du syno et d'haproxy

 
Pour rappel, j'accede a mon nas avec dsm.domaineovh.eu
 
Ok, j'ai rentré ca dans ma zone dns:  
domaine: gateone.domaineovh.eu.
type: CNAME
Cible: dsm.domaineovh.eu.
 
avec dans haproxy une regle pour rediriger gateone.domaineovh.eu vers le gateone avec le bon port
 
Je vais tester ce soir. Cela vous parait cohérent?

Super, ca va m'aider a mettre en place cela, et je pourrai y ajouter une couche Haproxy derrière si je capte le truc .

Merci bcq !

pas compris ce que tu essaies de faire
tu l'as créée comment ta redirection ? avec un fichier htm qui redirige ou dans haproxy ?

perso, j'accède avec dsm.mondomaine.com qui me route en https direct vers le bon port grâce à Haproxy...
ça fait plus classe

Super !!
Il y a le tutoriel Haproxy (dans un message du forum : http://forum.hardware.fr/forum2.ph [...] 1#t741030) et Celui de certificats signés StartSSL (récemment rédigé, il faudrait demander l'autorisation à l'auteur) qui seraient intéressant de citer en 1ere page

Hello,
 
je souhaite mettre en place HAProxy sur mon nas.
Je suis chez Orange (ip dynamique) et je fonctionne actuellement avec le service de Synology : synology.me. J'accède donc depuis l'extérieur à mes services avec xxxxx.synology.me
 
Je suis le tuto de Remigio
Premièrement, j'ai routé les ports dans la box :
80 > 5080
443 > 5443
 
J'ai ensuite installé HAProxy.
D'après le tuto, sans aller plus loin, je devrais pourvoir accéder au service du genre https://audio.mondomaine.com/, https://dsm.mondomaine.com/, soit chez moi https://dsm.xxxxx.synology.me
 
Je teste depuis mon smartphone, ça n'a pas l'air de fonctionner.
Une idée du problème ?
C'est à cause du "sous sous" domaine dsm.xxxxx.synology.me ?
 
 

Je pense que tu es sur la bonne voie... Mais je ne suis pas un spécialiste de Haproxy.. Il faut que je m'y mette aussi.
 
Perso j'ai pris un nom de domaine OVH à pas cher et roulez jeunesse. Le DDNS Synology a des soucis des fois... mais il a le mérite d'être gratuit ...

 
Ca fonctionne, même avec xxxx.synology.me    
 
J'avais fait une boulette    Quand HAProxy s'installe, il y a une notification du pare-feu pour ouvrir le port 8280. et je croyais aussi les ports 5080 et 5443. mais en fait non
Une fois ouvert ça va mieux    
 

 
Je galère à faire fonctionner HAProxy avec des if { path_beg /audio } par exemple
Comme dans le tuto, j'ai ajouté reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 dans les options du backend Audio.
Certes je ne tombe pas sur une 404, mais sur une page blanche (si j'affiche le code source de la page y a du contenu pourtant   )
 
Une idée du problème ?

J'ai un problème avec mon certificat / domaine ovh / haproxy
 
j'ai donc un certif pour nas.xxxx.ovh
avec haproxy, j'ai des associations du type : video.nas.xxxx.ovh, dsm.nas.xxxx.ovh, etc....
 
Depuis le taff :  
- j'ai essayé depuis un pc (proxy) : pas de problème pour accéder au différents services en https (juste l'alarme pour les domaines xxxx.nas), testé via Chrome.
- depuis un autre pc (même proxy) : chrome accepte pour video.nas... mais pas pour dsm, et firefox refuse tous les sous domaines xxxx.nas
erreur :  
Vous avez demandé à Firefox de se connecter de manière sécurisée à video.nas.xxxx.ovh, mais nous ne pouvons pas confirmer que votre connexion est sécurisée.
Si vous vous connectez habituellement à ce site sans problème, cette erreur peut signifier que quelqu'un essaie d'usurper l'identité de ce site et vous ne devriez pas continuer.
Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n'établir qu'une connexion sécurisée. Ainsi il n'est pas possible d'ajouter d'exception pour ce certificat.
 
Depuis chez moi :
même chose, Chrome accepte https://video.nas.xxx.ovh (juste l'avertissement de sécurité), mais bloque dsm par exemple.
Firefox bloque tout.
Erreur HSTS.
 
J'ai désactivé l'option HSTS dans Réseau > Paramètre DSM et dans Service Web > Service HTTP
Un idée du problème ? ça coince où ? ovh, Synology, haproxy ? bizarre que ça fonctionne pour video et pas le reste.
 
 
 

Ok Babble, j'avais pas vu où c’était c'est dans l'overview des disques et pas dans les actions de gestion des disques. Tout est ok .
 
Je vais faire ce qu'il faut pour remplacer le V1 à la mano. Je pense donc faire une sauvegarde V1 sur le V2, changer de disque, et ensuite faire un restaure des données. Jamais fait, mais ca doit etre assez simple et automatisé la sauvegarde du V1 et du restore.
 
Pourrais je avoir ton avis, mais aussi pourquoi pas celui d'autres intervenant de ce sujet sur une config differente que j'envisage ?
Sinon, j'ai 3x4To (nouveau) et bientôt 3x2To ou 2x3To de libre. J'ai peut être l’opportunité de prendre un nas 8 Baies. Donc je me pose la question de repartir sur cette base...
Je vais utiliser le NAS pour partage de photo en famille (photo station), cloud privé (documents administratifs numérisés, document des PC de la famille, Répertoire de sauvegarde des photos de mon reflex), syncho calendrier et contact des téléphones, serveur ebook (hypothétique, si je m'équipe et que je m'en achète), un serveur DLNA dédié musique + dématérialisation HD de mes albums, et des vidéos numérisées Famille et loisir (les classiques) accompagné des paquets de diffusion qui vont bien. Le tout derrière Haproxy + HTTPS + NDD pour l'accès extérieur.  
Un DD de sauvegarde USB pour données irremplaçables + une sauvegarde externalisée prévue completerons à terme l'ensemble.
 
Qu’envisagerais tu comme organisation de volumes du NAS. J'envisageai de partir sur un SHR des 3X4TO pour les contenus avec accès quotidien et avoir de la place unie. Pour les autres un SHR 3X2TO ?
 
Si tu as une idée ou des remarques je veux bien les lire .
 
Merci de ton temps de lecture et de tes précédentes réponses.  

Tout a fait. Une fois le tunnel monté il faut faire les redirection de port local des service voulu.

Un petit reverse proxy (haproxy par ex) permet d'accéder a tout les service du syno avec seulement un port ouvert sur la box.

J'ai réussi à mettre en place Haproxy  
Aucun souci sauf Plex où il faut que je rajoute "manage" à la fin de l'url.
https://plex.domaine.ovh/manage
J'ai testé avec un backend du type : plex localhost:32400/manage check.
Même chose.
 
Au final ça fonctionne c'est ce qui compte mais si quelqu'un a réussi à mettre une option dans le backend pour éviter çamerci de le faire savoir.

Bonjour à tous,
 
Je vois que vous parlez pas mal de haproxy pour gérer les dns (j ai l impression), pouvez vous me dire l intérêt par rapport au package dns du Syno ?

Je pense que si Haproxy gérait les dns il s'appellerait Hadns

j'avais réussi, mais c'était relou effectivement
 
à ce propos, parait qu'il y a un vrai reverse proxy dans la beta 6 aussi, qui permet de se passer d'haproxy, j'ai pas essayé avec mon actuel, mais demain je reçois mon 716+ et je mettrai direct la Beta 2 pour tester let's encrypt et le reverse proxy

J'ai également le DS716+... mais en 5.2. Je pense que je vais attendre la version finale de 6.0 avant d'y passer.
Concernant le reverse proxy, j'utilise nginx qui déjà installé... qu'entends tu par "vrai reverse proxy" ? C'est un peu le cas de HAproxy non ?

oui, pardon, mauvais usage, je voulais dire "intégré"
nginx est effectivement installé mais faut aller faire la config à la main alors quand la 6, y'a un frontend apparemment (mais qui marche pas toujours bien dans la beta)
 
ceci dit, je gagnerais p't'être à récup un tuto nginx et désinstaller haproxy

y'a même moyen de n'avoir que 80/443 (plus les ports des services mail si t'utilises mailserver) avec un domaine et en faisant de la redirection via haproxy ou nginx (dsm.mondomaine.com pour dsm, video.mondomaine.com pour videostation etc.)

Bonjour à tous,
 
j'ai testé la version 6 RC sur mon DS214play, a part haproxy et Cops tout fonctionnait normalement.  
 
Je viens d'installer la version stable mais j'ai toujours les mêmes problèmes a savoir Haproxy pédale dans le vide et impossible de voir mes configurations et Cops il me dit qu'il ne trouve pas ma base metabase.db (pourtant bien configurée et avec autorisation pour le groupe Http).
 
Auriez vous une idée ?
 
Par avance merci

pour haproxy, il entre probablement en conflit avec nginx qui gère maintenant le reverse proxy, si tu t'en servais pour ça, tu peux le virer gaiement.
 
par contre, connait pas cops, donc je peux pas t'aider

Bon ben moi la maj de mon 1812+ s'est pas super bien passée, y'a plus rien qui écoute sur le 5000 ou le 5001 donc plus d'interface Le reste fonctionne (montages nfs, haproxy, ssh...)

MAJ faite, RAS , a part que j'arrive pas à configurer le reverse proxy builtin.  
 
j'avais HAProxy et ca fonctionnait bien, j'avais la redirection de https://monappli.username.synology.me => http://localhost:8888/ par example , j'ai mis la même chose...et ca ne fonctionne plus.
 
j'en ai profité pour crée un certif Let's Encrypt aussi...mais je pense pas que ca vienne de là...
 
Je suis en gland j'avais oublié que j'avais une redirection du 443 vers le port de HAProxy
donc dans ma box je redirige le 443 vers le 443 et c'est niquel  

Vous avez réussi à faire fonctionner HAproxy sur DSM 6 ?
Moi j'ai une erreur au démarrage :
"Échec lors du lancement de la réparation du paquet" et pourtant c'est la première fois que je l'installe.

Bonjour,

HAProxy n'est plus utile maintenant dans DSM 6.0 (pour la partie redirection, mais pas pour la partie analyse).
Pour faire de la redirection il faut aller dans le panneau de configuration, Portail des applications, il faut choisir l'onglet "Proxy inversé".
 
Voilà ...

 
J'essaye d'installer HAProxy de synocommunity... Et à chaque fois, j'ai un message d'erreur qui me dit "echec lors du lancement de la réparation du paquet".
 
Sur le net, je trouve que la solution consiste à désinstaller, réinstaller. Ou alors à réinstaller sans lancer, redémarrer puis lancer...
 
Sauf que ça ne fonctionne pas. Personne n'a ce problème ?
 
Je suis en DSM 6.

Le passage en DSM 6 apporte vraiment des choses nouvelles pour une utilisation privée at home ?
J'ai juste noté les évolutions importante :
- Un système de fichier BTFRS qui a un intérêt pour de la sauvegarde incrémentielle moins volumineuse
- Un système cloud Synology plus poussé pour de la synchro de fichiers PC client <-> Serveur NAS
- Sécurité accrue au niveau de la connexion Admin / SHH
- Un reverse proxy (qui permet de se passer de Haproxy)...
 
J'ai loupé quelque chose d'important ? Étant depuis un moment en 5.2, j'hésite un peu... Sachant que les DSM successifs alourdissent à chaque fois la navigation au niveau temps de réponse j'ai l'impression...

Yop,
 
J'ai mis en place un Reverse Proxy basé sur HAProxy sur une VM Debian et maintenant, les applications Android n'arrivent plus à se connecter aux services du NAS (depuis l'extérieur).
Faut-il faire quelque chose de spécial dans la config de HAProxy ?
 
Merci !

?
 
Je ne connais pas haproxy, mais si l'url qui y est configurée en "https", c'est bien à son niveau qu'il faut installer la clé privée et le certificat.

 
Encore mieux, je n'ouvre que le 5080 et le 5443 pour faire passer tous les services vers l'extérieur, y compris le SSH.
 
Et pareil, jamais eu de tentatives d'intrusion. Merci HAProxy

Tiens, avec la dernière version de DSM, le conseiller de sécurité m'a trouvé des utilisateurs qui n'existent pas (haproxy notamment).
 
J'ai dû aller les supprimer en faisant vi /etc/passwd

Je pensais que le deuxième port était le port du HTTPS...
 
Sinon, je veux bien un tuto simple pour traefik
Et y a une différence avec HAProxy que j'ai vu passer aussi ?
 
PS : traefik a quoi de bien mieux que le proxy inversé du NAS ? Si ce n'est les jolies couleurs ?

Traefik est capable, entre autres, de créer dynamiquement les reverses dès que tu démarres un container, il peut générer un certificat SSL (wildcard ou non) automatiquement, il fait reverse proxy UDP/TCP, etc.

HAProxy sait faire d'autres trucs (comme différencier le trafic HTTP/HTTPS du SSH), les 2 sont "complémentaires" je trouve.

linuxserver est un très gros contributeur d'images, parfois ils "portent" sur ARM des containers seulement dispos pour x86_64, parfois ils réunissent plusieurs images (frontend / backend) en une, etc.

Perso je me sers de :
- Traefik, reverse proxy hyper évolué/efficace
- AdGuard Home, à mon sens plus évolué que Pi-Hole
- HAProxy, pour tout faire passer par le port 443 (HTTPS et SSH)
- Bitwarden
- Syncthing, très utile pour synchroniser des répertoires entre plusieurs machines
- Apache Guacamole, super frontend SSH/RDP
- Jackett/Sonarr/Radarr, on va pas trop s'étendre dessus
- MariaDB / PHPMyAdmin, essentiellement pour Kodi
- un contrôleur Ubiquiti, pour des bornes wifi de la marque
- un ensemble de containers Telegraf/Prometheus/InfluxDB/Grafana pour grapher un Syno, du matos Ubiquiti, un firewall pfSense, des switches, etc.
- des petits trucs comme Ghost (moteur de blog), Gitea (serveur GIT), Portainer (GUI pour gérer Docker)

Merci bien pour ces utilisations possibles.
Je vais regarder pour Adguard Home, ça peut m'intéresser
Traefik aussi, mais me faut un tuto simple et très bien expliquer ^^
HAProxy, ça fait pas double emploi avec Traefik et le reverse proxy de DSM ?
Sinon j'ai quelques utilisations similaires ^^ avec Grafana ^^ (tuto chez nas-forum suivi)
 
 

Ce qui ne me convenait pas avec Plex, c'est de devoir payer pour le transcodage...
Mais je ne savais pas qu'il existait aussi un plugins kodi pour aller chercher les fichiers sur le NAS...
Cela dit, si ça fait la même chose que Jellyfin ou Emby et son plugins kodi, ça ne permet pas ce que je veux : lire sur la TV les vidéos 4K (avec sous-titre) sans que ça saccade...
 
 
Je note pour watchtower, que j'avais vu passer je sais plus où.
Portainer, je suis pas sur que ça me soit utile, si ce n'est ne pas laguer sur la mise à jour des conteneurs fraichement créés... Car hier j'ai du rebooter le NAS pour voir le conteneur Jellyfin que je venais de créer avec un docker-compose en SSH...
DOnc à voir.
Portainer ne permet pas lui aussi de faire les MAJ des conteneurs ?
 
Et purée, sont pas chers ces SSD chez kingdian... Du coup, corrolaire : QUID de la durée de vie ?
 
 

+1000
 

En fait tu autorises que ce que tu veux, puis tu fais une règle qui interdit tout pour tout le monde :

 

 
Nickel !! Je te pique la commande pour quand j'aurais à refaire un badblocks

J'avais fait un petit comparatif avec Pi-Hole sur le topic serveurs@home    
 

DSM utilise nginx pour le reverse proxy si j'ai bonne mémoire, avec HAProxy ce sont les 2 qu'on trouve le plus souvent.
Traefik fait partie de la nouvelle génération, c'est surtout pensé pour Docker/K8s et compagnie.
J'ai un HAProxy juste derrière le firewall pour aiguiller le SSH vers un hôte, et le HTTPS vers un Traefik (mais en ayant seulement le port 443 redirigé sur la box).
 

Je me sers d'Ouroboros pour mettre à jour automatiquement les images. Son développement vient de s'arrêter, mais il marche bien
C'est absolument déconseillé en environnement de prod (et même à la maison, certaines applis comme Traefik justement ont des configs complètement d'une version à une autre), mais ça me permet de ne pas me soucier des MAJ.
 
Portainer permet de gérer les containers, les images, les volumes, les réseaux...par contre, comme Traefik, il va devoir accéder à ta socket Docker, ce que ne permet pas nativement DSM.

 
Mais du coup, tu utilises pleins d'outils qui font au moins une chose en commun...
Pourquoi ne pas tout centraliser sur l'outils le plus complet... Je n'ai pas trop saisi ton architecture réseau...
Car tu dois pouvoir "rediriger le https" avec HAproxy non ?
Ou bien "aiguiller le SSH vers ton hôte" avec Traefik ?
 
 
 

Ok, c'est bon à savoir.
Ça sort probablement d'une même chaine de fabrication qu'un grand constructeur...
 

Oui bien sur ^^
 
Pour le moment, je gère les certificats en blocs : un bloc principal qui contient certains nom de domaine que moi seul utilise, un autre bloc avec celui que je partage à d'autres personnes (drive), et un dernier pour nextcloud que j'ai créé récemment pour tester nextcloud, mais lui je vais pouvoir le dégager...
À une époque je pouvais tout faire en un seul certificat, que je mettais à jour quand j'ajoutais un nom de domaine, mais j'ai trop de ndd maintenant à gérer pour que ça rentre dans le champs LE du NAS... Donc j'ai du en faire d'autre, ce qui m'a permis de faire l'organisation précédemment décrite.
 

Bah ça commence à devenir intéressant ce Traefik...
Mais le seul tuto que j'ai pris le temps de parcourir rapidement m'a paru pas simple à mettre en oeuvre, et surtout c'était pas super bien expliqué...
 
Et donc tu conseilles de prendre du temps pour mettre en place Traefik ? (pour les certificats wildcards, ça peut être intéressant)...
 

Non, Traefik n’est pas (encore, ça peut changer) capable de détecter le payload SSH dans des paquets, et HAProxy ne sait pas discuter avec un démon Docker
Après je reconnais que c’est « superflu », mais ça me permet d’accéder à du SSH via le port 443.
 

En environnement Docker, un reverse proxy comme Traefik simplifie drôlement la vie...une fois les bons labels mis en place, 1 seconde après le démarrage d’un container ton appli est dispo sur internet, sans avoir à faire de conf.
 
La conf de Traefik est effectivement loin d’être évidente, et c’est découpé en plusieurs couches : routeur (en gros, l’URL avec laquelle tu vas te connecter depuis l’extérieur), service (là où est ton appli en interne) et middleware (ajout d’un chemin à l’URL, modification headers, gestion de credentials, etc.)  
 
Un grand nombre de providers DNS sont gérés, si tu veux des certificats wildcards : https://docs.traefik.io/https/acme/#providers
 
 

En gros tu peux dire à HAProxy que les paquets contenant la chaine de caractères "SSH-2.0" sont à envoyer vers le port SSH d'une machine, et le reste (HTTP/HTTPS, par exemple) doit être envoyé à Traefik.
 

Tu peux tout à faire faire comprendre à Traefik (via des labels Docker) qu'il ne faut pas reverse proxyfier une appli
 
Après tu peux toujours accéder à tes applis avec une IP locale...