Reprise du message précédent :

Je suppose que tu utilises qubes os dans ce cas sinon ça sert à rien de crypter tes fichiers puisque ton pc sera le point d'entrée vers tes fichiers.

L'objectif étant d'avoir des données illisibles en cas de vol du NAS, le cryptage des shares est au contraire une solution pratique et simple à mettre en place, tout en garantissant la confidentialité du contenu en cas de vol.

Je ne suis pas sûr de bien comprendre ta question...
Tu veux que le nas mette à jour l'ip pour sd1.ndd.fr et sd2.ndd.fr mais pas pour sd3.ndd.fr ?

 
 
Non, mais je m'y intéresse  
 
Cela dit, comme l'a signalé babble, je vise le chiffrement pour assurer une certaine tranquillité d’esprit en cas de vol.
Le PC en lui-même sera ou à l'abri ou sécurisé (chiffré). Dans tous les cas il ne retiendra pas les mdp pour les lecteurs réseau (sauf s'il est chiffré, cela devrait suffire).
 
Il manquera l'auto-destruction de l'ensemble dans le cas où je devrais être séparé physiquement du NAS ou du pc pendant plus de 45''. Mais ce ne sera pas pour tout de suite *
 
 
* blague
 

Sinon je suis passé à la 6.1.3 aujourd'hui, sur mon DS215J, et ça roule.
 
Tiens, USB Copy, c'est nouveau ? Il me semblait que ça existait déjà mais que la fonction n'était dispo que sur certains NAS.
 
 
Seule surprise au passage vers la 6.1.3 : TimeBackup est désactivé. Tout ce que j'avais lu avant m'indiquait que TB restait actif, si du moins préalablement installé en DSM 5.2 avant de passer en 6.1.3.
 
Comme HB ne voit pas ma tâche TB (uniquement la B&R), je sens que je suis bon pour recommencer toute la sauvegarde. Qui avait duré des jours entiers (un bon 2To, donc...).

 
En fait sur DSM tu indiques le DDNS nas.ndd.fr. Sur OVHS le dynhost nas.ndd.fr. OK
Mais ensuite. qd tu déclares des dynhost  toto.ndd.fr: Le système OVH sait que pour atteindre toto.ndd.fr, il prend la meme IP que pour nas.ndd.fr ?
 
Et ma deuxième interrogation : si j'ai un serveur NAS situé sous une autre adresse IP, et que je veux l'atteindre avec tutu.ndd.fr, est ce que c'est possible en renseignant sur ce deuxieme NAS un DDNS sur tutu.ndd.fr ? Si si oui, comment est resolu l'adresse IP de toto.ndd.fr dans ce cas ?
Ce sont des interrogations pour le moment : mais je pense qu'on ne peut aps etre multi IP avec les sous domaines chez OVH ?

Ok. En fait tu comprends pas comment ça marche... Je rentre chez moi et je t'explique

Edit :
Lors que tu as besoin d'accéder à des données hébergées sur un serveur ne possédant pas une adresse IP fixe, tu crées un identifiant DynHost (couple 1 et 2) :

Mais dans le champ 3, tu indiques le sous-domaine concerné, de telle sorte que ton serveur, lors du changement d'IP va se connecter à OVH en signalant sa nouvelle IP. OVH va faire le lien entre l'identifiant DynHost et le sous-domaine que cet identifiant gère, et va faire la mise à jour de l'IP.
Tu peux très bien mettre un wildcard '*' comme indiqué dans la capture d'écran. Dans ce cas, dès que ton nas change d'IP, TOUS les sous-domaines DynHost que tu as créé vont pointer vers lui.

Pour ta deuxième question, ton deuxième nas n'a pas besoin d'avoir un identifiant DynHost...

CAS PRATIQUE :
Tu as un premier nas dont l'adresse IP locale est 192.168.0.1
Tu as un deuxième nas dont l'adresse IP locale est 192.168.0.2

Tu crées un identifiant dynhost qui gère tous les sous-domaines du domaine pouet.ovh.
Dans ovh, tu crées deux sous-domaines :
dsmnas1.pouet.ovh
dsmnas2.pouet.ovh

Dans ton premier nas, tu donnes les identifiants dynhost du domaine pouet.ovh. Tu ne mets RIEN dans le nas 2.
Dans le reverse proxy du nas 1, tu indiques :
dsmnas1.pouet.ovh:443 => 192.168.0.1:5000
dsmnas2.pouet.ovh:443 => 192.168.0.2:5000

Lors que ton ip publique change, le nas change l'ip pour les deux noms de domaines.
Lors que tu tapes depuis l'extérieur https://dsmnas1.pouet.ovh tu accèdes à ton premier nas.
Lors que tu tapes depuis l'extérieur https://dsmnas2.pouet.ovh tu accèdes à ton deuxième nas.

CAY COMPRIS ?  

Edit 2 : évidemment il faut dans ta livebox rediriger le port 443 vers ton premier nas.

Ok. Merci.

Le reverse proxy du 1er nas renvoie sur le deuxieme... Comme pour le local... Mais mon exemple etait plutot situé dans le cas de 2 adresse IP public sur 2 connexions internets différentes (pas au meme endroit)

C'est plus clair sur le fonctionnement. Par contre, je ne peux pas mettre '*' dans le sous domaine de ovh. Il me jette en me disant que ce n'est pas autorisé. D'où mes questions...

On peut passer en mp peut etre pour éviter le HS ?... On va se faire jeter sinon....

Attention au conflit entre 443 (port crypté par défaut) et 5000 (port non crypté par défaut) pour DSM

Il aurait été plus logique de mettre 5001 (port crypté par défaut)

Non ?

ça n'est pas dans le sous-domaine, mais dans l'identifiant dynhost qu'il faut mettre le wildcard !

Pourquoi ? La connexion est chiffrée du client externe jusqu'au reverse proxy (le nas). ça suffit, non ?

T'es passé en 6 depuis 5 quoi... ça fait un baille que la 6 est dispo.
 
C'est hyperbackup la solution de sauvegarde maintenant.

Je vois sur le site Synology
 

 
https://www.synology.com/fr-fr/know [...] nology_NAS
 
Or , je viens de le faire et de le défaire sur un dossier partagé sans problème.
J'ai raté quelque chose?
 
Devant faire déménager mon syno à l'étranger assez loin, avec 3 semaines dans la nature, je me demande si ce n'est pas une bonne idée que de faire ça sur un dossier sensible.

Ok merci/. Ben ca en effet j'avais mpis une etoile. Mais apres, il faut ajouter chaque sous domaine pour les déclarer ? C'est ca ?
Je n'avais pas compris le binz' comme ca. Merci bcq !!    

Par contre coté ddns, faut mettre un des sous domaine sur DSM et basta ? Correct ?

Sinon on peut en créant un autre identifiant dynhost pour un sous domaine précis le faire pointer sur une autre IP qui n'a rien à voir avec toutes les autres ?? Genre un autre NAS chez quelqu'un d'autre ? En théorie j'ai l'impression que c'est bon ?

J'comprends vite, mais faut m'expliquer longtemps .

Désolé pour le temps passé à m'expliquer ds choses sans doute qui coulent de sources pour certains ...

Il me semble que la fonctionnalité à été ajoutée depuis une release récente de DSM (6 ou 6.1)

N'ayant pas envie de complètement paralyser mon 213+, j'envisage de ne chiffrer que les répertoires partagés sensibles comme par exemple homes.
Est-ce que ça équivaut au cryptage du disque?
Autrement dit si on me vole le disque, est-ce que l'on aura accès au contenu du répertoire chiffré sans la clé?

Arrêt violent et reboot tout marche....

Et selon toi, quel serait l'intérêt de chiffrer si c'était le cas ?

Hello
 
Je souhaite faire appel à vos lumières svp !
Je vais passer d'un DS412+ à un DS1812+ et je suis actuellement en 4x4To en SHR.
 
J'hésite à passer en :
1. 8x4 en SHR 2
2. 4x4 x 2 volumes en SHR
 
Dans ces 2 cas, est-ce que ça m'obligerait à recréer le volume, et donc à copier mes données ailleurs pour ne pas les perdre ? J'aurais tendance à dire que non pour l'option 2, mais j'ai un doute...
Et si je veux rester en SHR, est-ce que je peux simplement mettre les disques dans le nouveau NAS (dans le même ordre ?), booter et puis rajouter les 4 autres disques ? Idem, j'aurai tendance à dire que oui, au vu des infos que j'ai glanées par ailleurs, mais je préfère vérifier avec vous
 
Merci d'avance pour votre aide !

FP, chapitre 5

J'ai peut-être mal lu mais je n'y ai pas trouvé d'infos sur le passage de SHR => SHR2 tout en doublant le nombre de disques, ou de SHR => SHR en créant 2 volumes distincts, d'où ma question

Je ne sais pas si tu as mal lu, mais il est clairement noté les réponses à tes questions concernant l'obligation ou pas de recréer le volume en mettant tes données ailleurs pour ne pas les perdre, ainsi que l'importance ou pas de respecter l'ordre des disques.

Concernant SHR2, dans ton nouveau NAS tu pourras migner ton SHR en SHR2 à partir du moment où tu auras un 5eme disque 4To (minimum) dans le NAS.

Après, le choix de 1 gros SHR2 vs 2 SHR t'appartient.

En termes de capacité, 2 SHR avec des disques de 4T donnent 12+12To, et 1 SHR2 toujours avec des disques de 4To donne 24To; donc ça revient au même.

A toi de voir si tu préfères organiser toi-même les données (tu devras jongler avec ton espace disponible de chaque volume), soit tout mettre dans ton volume unique.

1/ je ne comprends pas ta question
2/ tous les sous domaines pointent vers ton Nas qui sert de reverse proxy. Dans le reverse proxy tu dois indiquer toutes correspondances sous domaine => ip.
3/ je ne sais pas. Si tu as un wild card pour l'identifiant dynhost, tous les sous domaines vont pointer vers l'ip de ton Nas. Donc en théorie non, c'est pas possible. Mais : peut être le reverse proxy peut pointer vers une ip externe ; ou peut être est il possible de créer un identifiant DynHost que pour une liste de sous domaines et non pas pour tous les sous domaines. A toi de chercher et d'essayer.

 
Justement je me pose la question de l'intérêt de crypter un disque complet alors qu'il suffit de chiffrer un ou des répertoires.

J'ai reçu une nouvelle alerte pour mon certificat sur mon NAS...

Le certificat ne semble pas vouloir se renouveler tout seul...
Je ne comprenais pas pourquoi car le port 80 est bien routé sur ma box et ouvert dans le pare-feu du NAS.

Mais j'ai finalement trouvé pourquoi ça ne fonctionnait pas

j'avais paramétré le pare-feu du NAS pour n'autoriser les connexion sur les ports 80 et 443 que sur les IP françaises...  

En libérant les IP étrangères de ce blocus, ça a fonctionné
En réalité j'ai remplacé le certificat existant par un nouveau me permettant d'avoir plusieurs sous ndd pris en compte dans un seul certificat (en vue de paramétrer le reverse proxy correctement, car ce que j'ai fait ne fonctionne pas encore, faut que je recommence de 0 ) :
nas.ndd.ovh
cs.nas.ndd.ovh
files.nas.ndd.ovh
photos.nas.ndd.ovh
etc...

Pour y arriver, lors de la création du certificat Let's Encrypt, il faut entrer dans le champ "Autre nom de l'objet" les différents ndd avec des ; entre comme ceci :
nas.ndd.ovh;cs.nas.ndd.ovh;files.nas.ndd.ovh;photos.nas.ndd.ovh

Et bien sur avec le port 80 ouvert sur les IP autres que les FR, ça fonctionne

J'aurais aimé savoir sur quelle(s) IP le certificat Let's Encrypt va se connecter pour la validation/renouvellement histoire de n'autoriser que la région correspondante au lieu de mettre tout autoriser.
Une idée ?

Oui, le fp renvoie bien vers la page de Synology que j'ai bien lu, d'où la mention d'informations glanées par ailleurs
 Mais j'ai tendance à faire la distinction entre des consignes théoriques et les vrais retours utilisateurs que l'on peut avoir sur des forums, comme ici
Pour préciser ma interrogation, est-ce qu'il y en a parmi vous qui ont rencontré des difficultés même en respectant la procédure décrite par syno, le cas échéant, comment les éviter ?

Ok ! Je comprends donc que, moyennant le nombre de disques suffisants, il est possible de passer de SHR à SHR2 sans avoir à supprimer puis recréer le volume (et donc supprimer les données).

Il y a effectivement cet aspect "organisation des données", mais n'ayant jamais utilisé ces 2 types de configuration, là encore, c'est surtout la contrainte d'avoir à copier mes données que je souhaite éviter (risque d'incident mis à part) car je n'ai pas 12To en plus des 8 disques pour faire cette copie... (Je toucherai du bois )
 
En tout cas, merci pour ces retours
 
Je suis preneur de tous vos avis complémentaires !

A ma connaissance, sauf si ça a changé avec DSM 6, il n'est pas proposé de chiffrer le disque complet.
Le chiffrage s'applique indépendamment à chaque share.
Avant DSM 6, le chiffrage d'un share ne pouvait avoir lieu qu'au moment de sa création. Depuis tu nous as confirmé qu'on pouvait chiffrer un share déjà existant.

Haaa c'est cool ça qu'on puisse chiffrer un share existant
Je vais peut être regarder ça de plus près...
Est-ce qu'HyperBackup fonctionne bien avec ?
Les partages chiffrés sont montés automatiquement par le NAS sans qu'on ait besoin de rentrer à chaque fois la clé de chiffrement ?
Dans windows et macOS, faut entrer la clé à la connexion c'est ça ? en plus du mot de passe utilisateur ?

(je viens de voir dans le NAS le truc sur le gestionnaire de clé, faut que j'approfondisse ça car j'ai pas trop compris en regardant en diagonale )

PS : mes sauvegardes HyperBackup sont toutes chiffrées en local et à distance (sauf celles des photos sur le NAS chez mes parents car il y en a trop et que c'était déjà  fait en clair...) Seule la source de ces sauvegardes n'est pas chiffrées ainsi que le partage des photos.

La FP n'est uniquement basée que sur des faits vérifiés. Il y a parfois des liens externes mais qui ne sont pas forcément à jour. Exemple : Syno indique de respecter l'ordre des disques lors de la migration, alors que les essais de certains ont été concluants sans respecter cet ordre.

Oui

Y'a un truc que tu ne comprends pas.
Ton paquet de 4 disques actuels (et les données qu'il contient) ne bougera pas, hormis une autre installation de DSM correspondant à ton nouveau NAS, mais sur une autre partition de chaque disque, donc sans impact sur tes partitions de données.
Donc quel que soit ton choix de SHR, tu vas commencer par mettre tes disques dans le nouveau NAS, installer le bon DSM dessus.
Tu seras à ce moment-là en SHR sur 4 disques, comme avant.
Tu vas ajouter tes 4 disques suivants, et à ce moment-là, tu vas choisir soit de créer un second volume SHR sur les 4 nouveaux disques, soit de changer de type de RAID et passer en SHR2 sur 8 disques sur un volume unique.
Dans tous les cas, tu n'as pas besoin de passer par un stockage tampon.
(Même si à mon sens tu devrais déjà avoir un backup de tout ce qui est important, un RAID n'est pas une sauvegarde).

 
Je viens de tester le gestionnaire de clé.
 
Le NAS stocke les clés de déchiffrement sur une clé USB.
 
Avec la clé USB branchée, les partages chiffrés sont montés au démarrage du NAS et donc directement accessibles.
 
Sans la clé USB, les partages restent démontés et inaccessibles.
 
C'est extrêmement pratique !
 
Si j'ai bien tout compris, il y a 3 clés différentes :
- la clé de chiffrement du partage (qui chiffre les données) ;
- la clé de chiffrement de la clé de chiffrement * ;
- la... clé USB   qui contient la clé que le NAS écrit dessus;
 
* ce qui est écrit sur la clé USB est une version chiffrée de la clé de déchiffrement des données. Cette clé est générée par le NAS lui-même et intimement liée à celui-ci (à un NAS bien précis).
 
 Vous m'arrêtez si je me trompe, mais on peut laisser la clé USB en permanence sur le NAS :
- si on pique le NAS avec la clé USB dessus, les partages restent protégés par l'accès au NAS lui-même (avec identifiant/mdp) ;
- si on démonte le NAS et qu'on enlève les disques, ceux-ci restent chiffrés (forcément) ;
- si on enlève la clé USB, on enlève la possibilité de simplement outrepasser la connexion au NAS.
 
Bon, il me reste à recommencer tout mon backup avec HB maintenant. Oh joie.
 

Euhhh. Si on te vole ton NAS, le voleur pourra réinitialiser le compte admin normalement en passant par reset. Donc faut voir si il aurait aussi accès au dossiers cryptés avec cette méthode. Avec et sans clé USB intégrée pour savoir.

 
Avec un reset physique, les disques sont censés être démontés automatiquement et la clé rendue inopérante (mais je n'ai pas vérifié ces points / lu par ailleurs). D'après ce que j'ai compris la clé sur la clé est liée au NAS (et sans doute à un compte si le reset la rend ineffective).

Sans clé USB, c'est sûr que non, comme indiqué en FP.

Et pour être sur : rallonge USB au cul du NAS avec la clé au bout, planquée dans un coin -> si on te vole le NAS, peu de chance que le voleur s'emmerde à suivre tous les cables pour voir ce qu'il y a au bout.

mais où vous allez chercher tout ça !?

Bah quoi, c'est une bonne sécurité qui coûtent 2€19 pour la rallonge sur Amazon dans l'éventualité où tu ne l'as pas déjà, ça me parait d'un bon rapport q/p non?

Certes. C'est simplement l'idée qui est un peu folle xD

J'ai un Synology 213j et j'ai cherché à crypté l'ensemble sans trouvé comment y arriver. Est ce que ce genre de.materiel pourrait subir.le cryptage ?

Vue la puissance du truc, perso je ne le ferais pas, sauf sur certains shares spécifiques et confidentiels : info banque, état civil, impots, photos
Sinon tu peux le faire de la même manière que sur n'importe quel NAS Synology, en fonction de ta version de DSM.

Après vérification sur DS713+ : 28Mo/s en DL et 22-23Mo/s en UL pour des shares cryptés, contre + de 100 Mo/s DL/UL sur des shares non cryptés.

Outch nouveau matos à prévoir donc. Justement je me tatais ça va être pour bientôt. Merci