Reprise du message précédent :
Là mon client c'est un plombier, avec plusieurs ouvriers mais bon on n'est pas non plus sur une multinationale.
 
C'est le genre de truc qui me sera toujours utile, et il faut bien commencer.

Tu as l’air calé sur le sujet.
 
Je compte personnellement mettre en place mon syno comme moyen de backup et non comme nas principale, en transition actuellement.
 
J’imagine qu’il faudra désactiver Quicksync voir un reset complet du nas pour repartir sur une installation fraîche. Règles fw script limiter les accès et chiffrer les sauvegardes.  
 
Vaut-il mieux avoir du coup un script de sauvegarde rsync du syno vers mon autre nas qui vient récupérer les données ou d’envoyer de mon nas principal vers mon syno. Car j’imagine que si mon nas principale est corrompu ils aura donc les accès au nas en backup ?

 
On évite quicksync effectivement
 
Il faut que ton NAS de backup ne soit pas sur le même réseau physique que l'interface d'admin et d'accès aux utilisateurs de ton NAS principal.
Pour cela tu peux jouer avec les différentes interfaces réseaux sur ton NAS principal. Une pour l'accès admin (avec MFA, MDP fort, ACL strictes, etc.), les partages, etc, l'autre pour un lien direct sur ton NAS de backup.
Sur ce dernier, IDEM, une interface pour l'administration (sur un réseau physique à part) et une reliée à ton NAS principal. Sur cette interface, tu ne laisses passer au niveau firewall que le port pour la sauvegarde (rsync, hyper backup, etc.).
L'objectif est qui si ton NAS principal est corrompu, l'attaquant ne peut pas atteindre l'administration de ton NAS de backup ou aucun autre service à l'écoute que celui pour la sauvegarde.
 
Mais cela ne suffit pas car il ne faut pas que l'attaquant puisse corrompre les sauvegardes s'il a la main sur le logiciel de sauvegarde.
Bien que DSM permette de créer des dossiers WORM, cela ne fonctionne pas avec Hyper Backup. Peut-être avec du rsync je ne sais pas.
Dans ce cas là, tu fais ce que j'ai indiqué à johnclaude, un snapshot replication de ton dossier de sauvegarde, avec une rétention importante dans le temps.
Et parfois tu tentes de restaurer une donnée pour voir ...
 
Mais bon tout cela est un peu bcp pour du particulier
Pour une petite entreprise par contre, c'est à considérer mais plutôt avec du Veeam et un dossier WORM sur le NAS de backup. Veeam sait gérer cela.

 
 
La 1ere question que doit se poser ton client est "si demain je n'ai plus d'informatique et les données, comment je travaille ?"
Facturation, devis, achat, compta, crm, etc. peut-il faire sans ses données et pendant combien de temps ?
 
Soit il dira, après étude sérieuse ou non, ca va je peux bosser avec du papier, un stylo, un ordi récupéré avec juste office et une imprimante, soit il se rendra compte qu'il peut potentiellement perdre bcp de CA, de temps, voir son business.
Du coup ça influera sur sa capacité à investir.
Investir Onprem ou en SAS.

Plus ou moins HS : le plan Google One qui donnais 2To donne 5To pour le meme prix , a considerer éventuellement pour du backup

Niveau performances c’était vraiment bon !
Mais le soucis c’est le lieu où sont hébergés les données…

Et plus que ça. Ils ont montré avec le temps que les prix ne sont pas stable. Ils pourront augmenter facilement le tarif. Et pour le même prix, avoir une nouvelle offre avec un espace de stockage moindre pour le même prix.  

Ha la loose !
Heureusement je suis parti ailleurs  

Oui évidemment si t’as surface d’attaque est limité par forcément besoin d’avoir une sécurité digne d’un acteur sensible.
L’IA permettant d’améliorer grande les possibilités en termes d’attaque mieux vaut se prémunir des bonnes pratiques.
Merci en tout cas pour les infos, j’apprends énormément en ce moment, et c’est que je me rend compte qu’être admin system c’est pas forcément simple  

J'ai leur offre pour l'IA, mais ça fait deux mois je l'utilise plus.

Il manque soit une négation soit un truc après le plus  

Ne l'utilise plus.  

 
Pas bon marché, mais nous on commence à installer des DP320/340/...

 
Ca a été une des premières manoeuvres chez les clients, appliqué le MFA sur les Synology et les Veeam. mais si on ne vérifie pas que le système est altéré, c'est un peu "inutile" et surtout, je ne sais pas si le système est vraiment sûr. Peut-être l'appliance Veeam ???

 
Les principes de base sont :
 
- infra de sauvegarde pas sur le même réseau que la prod.
- sauvegardes et archives immuables et même mieux : offline.
- tests réguliers de restauration.

Merci pour le lien, mais par contre connectique SAS ... et de mémoire ce n'est pas compatible avec mon DS923+

 
 
Je prends enfin le temps de m'occuper de mon NAS et mon réseau de manière à pouvoir l'ouvrir de façon sécurisée sur l'extérieur pour que junior n°1 puisse continuer ses sauvegardes et accéder via Jellyfin aux médias.
 
Pas de soucis particuliers, sauf 1 depuis que j'ai activé le pare feu sur le NAS.
Comme j'étais jusqu'ici 100% local, je ne m'étais pas soucié du pare feu et c'était open bar sur le réseau local, enfin façon de parler bien sûr.
J'ai donc appliqué quelques règles de bases en limitant l'accès à DSM, DS File et le partage de fichiers sur la plage IP de mon LAN pour commencer.
Premiers tests ok, tout fonctionne bien depuis mes pc à la maison.
 
Mais hier soir, je lance Kodi depuis ma Nvidia Shield, et je vois un pop-up en haut à droite "Préparation..." et rien ne se passe, plus aucun accès aux médias !
Je vérifie bien que j'ai appliqué ma règle pare feu sur les ports 139 et 445 pour le SMB, ras de ce côté-là.
Je teste en désactivant le pare feu, et tout fonctionne à nouveau correctement.
Je réactive le pare feu, et j'ai tenté avec plusieurs règles directement sur les ports 139 et 445, mais rien à faire, Kodi ne veut plus accéder aux partages SMB.
 
En fouinant les internets, j'ai vu que ça pouvait peut-être provenir de l'IPv6 qu'il faudrait désactiver ? (pas testé, j'ai lu ça ce matin dans le train)
J'ai cru lire aussi que le pare feu Syno avait du mal justement avec les partages SMB ?
 
Côté Jellyfin par contre, pare feu activé avec une règle sur le port 8096 ou pare feu non activé, ça fonctionne nickel. Idem pour l'accès à DSM ou DS File, dans les 2 cas ça fonctionne.
J'y repense par contre, je n'ai pas testé avec le pare feu activé si j'accédais toujours aux partages depuis Windows.
 
Bref, auriez-vous une idée ?

Il te manque peut-être les ports pour Netbios (nmbd / ports UDP 137 et 138), ou le port pour WS-Discovery (qui est censé remplacer NetBIOS de ce que je comprend) : port 3702/udp
https://kb.synology.com/en-global/D [...] y_services

pour si au cas ou: l'ordre des interdiction et autorisations dans le firewall syno a de l'importance les permissions doivent êtres au début et les négations d’accès a la fin...

Seul le 445 est utile avec un client SMB récent (ie un windows récent).
Avant de tenter via KODI, les partages fonctionnent-ils depuis Windows ?
Que contient la règle du pare-feu ?

le mieux c'est encore de ne pas mettre de règle de DENY à la fin mais simplement d'interdire par défaut tous flux non déclaré.

Merci à tous    
 
Alors oui en effet, déjà il faudrait que je teste tout bêtement en réactivant le pare feu si j'accède bien depuis Windows.
 
Je ne retrouve plus l'article, mais j'ai vu également que WS-Discovery devrait être lui aussi ouvert ! Je testerai également.
 
Si je fais une règle sur les applications, alors pour le partage de fichiers, ça ouvre 137, 138, 139 et 445.
 
J'avais parlé de désactiver l'IPv6, mais je viens de vérifier (oui, quickconnect est activé là tout de suite), et c'est déjà désactivé.
 
Pour SMB, je n'ai que des Windows récents. Sur le NAS je suis en SMBv2 mini et SMBv3. Idem avec Kodi sur la Shield, j'ai viré SMBv1 en mini depuis un moment déjà.
 
Côté règles, je me lance donc j'ai vraiment tout à faire.
Pour le moment, pour commencer, j'avais simplement mis dans cet ordre :
- Synology Drive Server (port TCP) autorisé pour l'IP du NAS
- DSM / File Station / etc ... + Serveur de fichiers Windows juste sur la plage IP 192.168.1.0 / masque 255.255.255.0
- DSM / File Station / etc ... uniquement pour les IP localisées en France
- Port 8096 (pour Jellyfin) juste sur la plage IP locale 192.168.1.0 / masque 255.255.255.0
C'est tout, rien de plus.
 
Je ne pense pas que cela ait une importance, les ports par défaut pour DSM ont été modifiés bien sûr.
 
Pour aller plus loin, je dois config le reverse proxy, le ddns, et je dois me décider quel routeur j'achète pour gérer le vpn via wireguard, puis ajouter au pare feu les règles pour vpn (enfin, si j'ai bien tout compris !)
 
Voilà, je pense que vous savez tout.
 
EDIT : au cas où, j'ai aussi désactivé le service "Bonjour". Mais bon, vu que ça fonctionne si je désactive le pare feu, j'imagine que ça n'a pas d'importance non plus ...

 
Si tu accède uniquement à Jellyfin et le reste du nas via vpn tu n’as pas besoin de ddns (le ddns ne s’applique uniquement si tu n’as pas d’ip fixe et ouverture en public de ton nas).
 
Ton reverse proxy par contre peut faire une négociation lets encrypt en dns01, c’est à dire qu’il va récupérer un certificat et tu peux diffuser uniquement ton contenu de manière local et via wireguard ou autre vpn. Si tu n’as pas déjà une serveur DNS à la maison tu devras mettre en place un dns qui va réécrire le nom de domaine pour le rediriger vers ton reverse proxy. Ce challenge permet de ne pas ouvrir de port de manière publique et de valider le certificat au près de navigateurs.  
Tu peux également rajouter le mode wildcard qui permet de déployer un nombre illimité de sous domaine sans le déclarer à ton provider dns.  
Donc dns01+wildcard fait qu’aucune déclaration n’est ouverte au public, ni ip ni port et tout est valide côté lan.
 
D’autant plus que si tu veux un reverse proxy tu va devoir changer tes règles firewall puisque tu ne passera plus derrière le 8096 mais 443 derrière le reverse proxy.
 
Bref tu es mieux de repartir à plat et réfléchir à comment tu ouvres tes accès et comment tu sécurises les différents ports et routes pour tous les services que tu as mis en place.
 
Tu peux t’aider de l’ia à structurer ton infra, c’est pas la taille qui compte  

Merci pour ces conseils    
 
En effet, j'ai mis un peu pèle mêle la suite, mais effectivement, j'ai bien identifié que si je mets en place un VPN, je n'ai plus besoin de déclarer un DDNS.
Dans l'absolu, je voulais déjà faire le test avec DDNS + certificat + reverse proxy, et tout refaire quand je m'occuperai du VPN parce que oui, ouvrir le NAS sur le net, même en essayant d'être au plus strict, c'est pas ce qui m'enchante le plus en 2026.
 
Je suis vraiment une bille en réseau, donc j'essaye au mieux de m'informer avant de tout casser et de vraiment comprendre.
Là quand je te lis, concrètement, tout n'est pas limpide pour moi !
Je n'ai pas de serveur DNS pour le moment non. Je pensais en gérer un depuis le futur minipc qui hébergera mon home assistant qui lui non plus n'est pas encore en place.
Le problème de lire et regarder des tutos, c'est que tu as trop d'idées et d'envies d'un coup et que tu finis par te mélanger !
En fait j'ai vraiment tout à faire. C'est super excitant, mais un poil flippant quand niveau connaissance réseau tu pars vraiment de la base.
Enfin, je suis un peu dur avec moi-même, mais bon, quitte à faire les choses, autant les penser et les faire correctement.
Parce qu'au final, c'est bien beau d'avoir un NAS, mais si c'est pour s'auto saboter en créant des failles sur l'outil qui sert à la base à sauvegarder tes data sensibles (même si j'ai une stratégie 3 2 1), c'est dommage !
 
L'IA aide bien oui, il faut juste à minima déjà savoir comment lui prompter ce que tu veux vraiment  

 
Tout à fait aujourd’hui le risque de hack augmente par l’automatisation des recherches via des bots, IA la moindre porte ouverte est un potentiel hack sur tes machines. Surtout qu’en fonction du matériel / logiciel que tu emplois les failles potientielles ne sont pas identiques.  
Tout passer par vpn te limitera la surveillance.
Tu peux utiliser du réseau mesh comme netbird ou Tailscale, ou un simple serveur wireguard qui te permet d’embarquer une propagation dns en dehors de ton réseau local.
Tu maîtrises :
- Qui peut contacter tes machines
- Ton reverse proxy décide de qui toque à la porte, comment ils toquent également en coupant des requêtes malicieuse par diverses règles.
- Ton serveur dns redirige tous les requêtes aux adresses xxx.domaine.xxx vers ton reverse proxy.
- Règles firewall strictes.
 
La meilleur des sécurité en premier pour moi c’est de comment tu construis ton réseau.
   

Pourquoi tu veux monter un serveur DNS chez toi ?
Quel rapport avec le fait d'accéder à distance à ton NAS ?
En quoi un DDNS est plus utile à un accès WEB que VPN ?
En quoi monter un serveur VPN vient remplacer un accès WEB à son NAS ?
Et pourquoi vouloir un routeur qui va gérer du wireguard plutôt que d'utiliser le VPN SSL ou IPSEC de DSM ?

A la base, pour gérer AdGuard sur le réseau local et non pour chaque machine. Mais ayant une livebox, j'avais de mémoire vu que ça pouvait poser des problème avec le player tv selon la config mise en place pour la gestion DNS sur le LAN.

Aucun

J'avais compris que c'était indispensable si pas de VPN, mais je n'ai sans doute pas tout pigé    

C'est plus sécurisé non ?

Tu touches à ma noobitude !
A la base je veux gérer depuis un routeur pour avoir un meilleur wifi que la livebox et ne pas avoir à reparamétrer tout le réseau si je change de FAI.
Pour le VPN, ça me paraissait plus logique de passer par le point d'entrée que sera le routeur, mais j'ai peut-être tort là aussi ? Enfin, je comprends bien que je peux le faire depuis DSM, mais le reste à faire est à ce stade pour moi totalement flou pour comprendre véritablement ce que je fais et pourquoi je le fais !
 
Désolé si ça part un peu en HS là ...

 
C'est pas un peu inutile si ta box te permet de définir le serveur DNS poussé aux clients ?
Sinon de le configurer à la mano sur les clients eux-mêmes ?  
 

 
L'intérêt premier d'un DDNS est de gérer les changements d'IP opérés par ton provider Internet sur le lien qu'il te fourni.
Est-ce le cas ici déjà ?
 

 
Pas nécessairement.
C'est juste pas le même objectif.
VPN = accès depuis Internet pour des personnes définies à une ou plusieurs ressources sur le réseau.
WEB = accès de manière indéfinie niveau utilisateur à un ou des serveurs WEB sur ton réseau.
 

 
Franchement le coup du routeur pour éviter une reconfig de box, j'ai tjs trouvé ça bidon.
On ne change pas de box tous les 4 matins et une config de réseau local de particulier, c'est quelques paramètres à reporter.
Perso je simplifierai en limitant les matos au final pas très utile. C'est de l'achat et de la gestion.
DSM permet de monter des VPN SSL ou IPSEC, autant l'utiliser.

Si je peux le gérer de façon globale, ce n'est pas plus simple ?
Pour ma box, une livebox 6, je n'ai pas véritablement regardé les possibilités.

Je comprends bien ce que fait un DDNS, mais là tout de suite, non, je n'ai pas encore mis en place le moindre lien à appeler.
Qu'entends tu par "le lien qu'il te fourni" ?

Ok, donc pour mon usage, VPN est clairement plus adapté.

Oui, d'une certaine façon, je suis d'accord sur le fait qu'on ne change pas de box tous les jours. J'ai dû en changer 3 fois en 1 an suite à déménagement + passage adsl vers fibre, et bien que ce soit rapide, ça m'a quand même vite gonflé d'avoir tous les matériels à reconnecter. Enfin, on parle surtout du wifi pour le coup car oui pour le reste, c'est pas si long que ça.
L'avantage que je voyais avec le routeur était vraiment de centraliser et de pouvoir mieux gérer qu'avec une simple box opérateur, et accessoirement d'avoir de meilleures perfs selon le routeur choisi.
 
Pourquoi pas utiliser DSM pour gérer mon VPN oui.
J'avoue que je suis frileux pour Tailscale car bien que ce soit du WireGuard, on reste quand même dépendant d'un tiers qui oblige une connexion, entre autres.
Je n'ai pas regardé si je pouvais installer WireGuard depuis container manager. La solution est peut-être là ?
Je trouve dommage que Syno ne propose pas WireGuard dans VPN Server !

Oh pardon, j'ai répondu vite et sauté ton post ! Merci pour ces précisions  

 
Et bien imaginons qu'elle ne permette pas de modifier le DNS poussé aux clients, tu désactives son serveur DHCP et tu le gères via DSM.
Et ce sera le serveur DHCP de DSM qui donnera aux clients l'ip d'adguard comme serveur DNS à interroger.
 

 
Ben ta fibre elle est en IP fixe ou non ?
 

 
Mais le WIFI t'as rien à faire.
Tu définis sur chaque box le même SSID et la même passphrase.
Tu configures la même plage IP pour le LAN et la même IP fixe pour la box.
 
quant au VPN, sauf à avoir des attentes très précises (lesquelles ?), tu paramètres un VPN SSL sur DSM et c'est réglé.

Aucune Livebox ne permet de changer les serveurs DNS diffusés via DHCP.  
Si tu désactives le serveur DHCP de la Livebox, tu peux mettre en place le tien, mais ton décodeur TV ne fonctionnera plus.  
C’est un peu tricky de se passer du serveur DHCP interne de la Livebox. Le plus simple est de paramétrer sur chaque machine l’adresse IP de ton AdGuardHome comme serveur DNS.

Et je crois bien que c'est dans ce cas de figure que j'ai cru comprendre que le player tv de la livebox ne fonctionnerait plus, à moins d'une méthode bidouille pas super simple.
Mais sinon ok avec cette méthode, c'est ce que j'avais retenu.

Ah oui ok, my bad ! Bon elle n'est pas fixe non bien que ça ne change pas souvent.

Ok, merci, je prends bonne note de tout ça    

Ok, bien, ça confirme mes craintes avec le player tv.
Après oui, c'est pas comme si j'avais 150 appareils sur lesquels gérer un DNS !
Ou comment se prendre le chou pour pas grand chose  

Sinon, pour revenir au sujet initial, j'ai solutionné mon problème de règles pare feu !
 
En résumé, je suis noob, mais doublé d'un gros boulet !
Epic fail du jour : j'ai réactivé mes règles et mes partages smb sont bien accessibles depuis Windows mais toujours ce foutu message "Préparation..." qui bloque tout dans Kodi.
Je fini par vérifier une à une les différentes sources jusqu'à en trouver une dont le partage est en ... NFS !
 
Voilà, voilà, bravo moi !  

 
 
Après recherche rapide, il faut pousser au décodeur TV des options DHCP.
Mais bon le serveur DHCP sous DSM est limité à ce niveau là.
 
Moi perso je virerai la livebox
Et j'en profiterai pour prendre un provider qui permet une IP fixe au passage.

Il faut effectivement pousser une DHCP dans la config du serveur, mais la valeur de l’option ne se devine pas.  
Elle est basée sur le numéro de série de la Livebox, le modèle…

Hello tous.
On a sous la main quelqu'un qui pourrait me reparer une BBLOD sur un 1512+ ?

J'ai regarde ca https://www.youtube.com/watch?v=K4BH1FtKWGg et je vais commencer par changer la pile, mais j'ai peur qu'il faille changer le circuit integre de la carte fille.

Salut.
Je suis passé voir mon client petite entreprise de plombier, il a validé le devis pour un DS124 et un disque de 4To. Pour l'instant il a un abonnement onedrive pour ses sauvegardes, et à terme cet abonnement ne sera pas renouvelé.
Je vais voir pour lui installer ça la semaine prochaine.
Pour l'instant tous les postes ont le même onedrive avec le même compte, l'idée serait de mettre un peu d'ordre là dedans, et de cloisonner un peu le truc.
 
Donc dans l'idée, sur le NAS il y aurait
1 compte d'administration pour tout gérer
1 compte pour le patron
4 comptes pour 4 employés
 
Les différents comptes hors administration auront chacun leur compte et leur dossier syno drive (genre la secrétaire et la comptable ont chacune leur compte synology drive/dossier et ne peuvent pas voir ce qu'ont les autres utilisteurs)
Chaque utilisateur aurait tous ses dossiers sur son poste, et ce serait  synchronisé avec synology drive (qui a un versionning pour revenir en arrière en cas de pépin).
 
Ensuite on installera un deuxième NAS sur un autre site pour une sauvegarde par exemple chaque jour à 2h du matin.
 
ça vous parait cohérent?
 
Pour l'instant il y a moins de 40Go de données en tout, donc avec un disque de 4To (les capacités inférieures sont presque au même prix) on est turbo large.
 
D'ailleurs pour moi je pensais trouver un DS124 à laisser chez mes parents, je vois un DS220+ d'occase à 280€ à côté de chez moi, j'hésite mais je ne suis pas certain que ça se justifie tant que ça à l'usage pour juste une sauvegarde par jour (et pas certain que le tarif de ce modèle d'occasion soit intéressant)
 
Vous en pensez quoi?

Sans vouloir être désagréable ou quoi, ça me surprend les questions que tu poses alors que tu vends apparemment des prestations de support / gestion d'infra réseau à tes clients.
 
Si ça tombe en panne / si Syno arrête certains des services que tu utilises / s'il y a un souci, tu sais gérer ?

tu as vu la typologie de client ?

je me permet de répondre à la place de @johnclaude vu que c'est lui qui post au départ et qu'il est peut-être pas à l'aise compte tenu de ta remarque, parce que en lisant je me suis senti visé même si ce n'était pas pour moi que s'adressait la réponse  
- ce n'est pas parce qu'on pose une question ou que l'on décrit une solution qu'on ne maitrise pas ce qu'on propose, c'est juste pour éviter de passer à côté d'évidence et qu'on a pas toutes les solutions en tête (voire une plus simple ou meilleur)  
- il m'arrive souvent de faire cette même démarche, consistant à demander si je ce que je vois comme solution n'est pas grévée de points ou je serais passé à côté (même évident, surtout évident)  
 
désolé de m’immiscer dans la conversation, mais c'est plus la remarque qui me titille, surtout que tu ne donnes pas d'avis sur le chemin proposé ou chemin alternatif