Routeurs : Synology SRM 1.2.4

Synology vient de sortir une nouvelle version de son logiciel interne SRM 1.2.4-8081. Cette dernière contient de nombreux changements (nouveautés, améliorations et corrections). Il s’agit d’une version importante que nous vous recommandation d’installer sur vos routeurs. Regardons dans le détail cette mise à jour…

Synology SRM 1.2.4

La dernière mise à jour datait de décembre 2019. Il aura fallu attendre 6 mois à Synology pour mettre à jour ses routeurs. Avant de rentrer dans les détails, sachez que cette mise à jour est importante à plusieurs niveaux. En effet, elle contient des nouveautés (améliorations) mais aussi plusieurs mises à jour de sécurité importantes. SRM 1.2.4 est disponible pour tous les routeurs Synology (RT1900ac, MR2200ac et RT2600ac).

Nouveautés

  • Ajout de la possibilité d’installer un système Wi-Fi maillé via des câbles Ethernet dès le premier démarrage (WiFi uniquement auparavant) ;
  • Possibilité d’avoir un système Wi-Fi maillé exécutant différentes versions de mise à jour de SRM (avec le même numéro de construction à quatre chiffres) afin d’améliorer les mises à jour (pour les différentes update) ;
  • Ajout de la configuration de la traduction multicast et l’espionnage IGMP dans un système Wi-Fi maillé ;
  • Prise en charge de la communication entre les périphériques clients au sein du réseau invité ;
  • Ajout de la prévention des attaques de broadcast via le filtrage MAC, qui empêche les appareils sans fil d’envoyer un grand nombre de paquets de diffusion en peu de temps et d’affecter l’utilisation normale des autres appareils ;
  • Ajout pour appliquer la stratégie par défaut de contrôle du trafic à chaque appareil connecté au réseau invité/local ;
  • Prise en charge de génération et envoi des rapports de trafic le dernier jour de chaque mois ;
  • Amélioration de la vitesse de démarrage des routeurs après une mise à jour du SRM ;
  • Amélioration du partage de connexion via l’USB sur iPhone ;
  • Harmonisation des comportements de soft reset sur RT1900ac, RT2600ac, et MR2200ac : le nom d’utilisateur du compte de l’administrateur peut être personnalisé lors de la réinitialisation ;
  • Ajout de l’identification LCP des paramètres PPPD lors d’une connexion PPPoE (requis par certains FAI) ;
  • Ajout du temporisateur de requête IGMP pour IPTV afin d’améliorer la compatibilité ;
  • Prise en charge des tests de connexion DNS sur HTTPS (DoH) ;
  • Ajustement des comportements de stockage des données : les données système seront désormais respectivement stockées dans chaque périphérique de stockage externe connecté au routeur ;
  • Mise à jour de la période de validité du certificat par défaut à 398 jours en réponse au changement de politique d’Apple ;
  • Amélioration de la compatibilité de WPA2-EAP / WPA3-EAP avec les serveurs RADIUS dans un système Wi-Fi maillé.

Voilà pour les nouveautés… pas mal, non ?

Corrections

  • Les performances du routeur pouvaient être réduites lorsqu’un périphérique macOS s’y connecte ;
  • L’iPhone 11 avec iOS 13.2.3 pouvait ne pas se connecter au réseau sans fil WPA3-Enterprise ;
  • SRM pouvait ne pas envoyer les journaux de points d’accès Wi-Fi à d’autres serveurs de journaux ;
  • Le réseau sans fil pouvait ne pas fonctionner correctement après une mise à jour de SRM sur lequel les configurations avaient été restaurées ;
  • Les packages pouvaient ne pas être téléchargés correctement à partir du Centre de packages sur RT2600ac ;
  • Le basculement d’interface ne peut pas fonctionner correctement lorsque l’une des interfaces WAN est déconnectée ;
  • Les appareils du réseau invité pouvaient ne pas accéder à l’Internet lorsqu’une règle de routage de stratégie qui dirige le trafic réseau via l’interface WAN secondaire est en place ;
  • Les utilisateurs pouvaient ne pas pouvoir sélectionner les interfaces WAN lors de la configuration du routage statique si l’IPTV utilise l’ID VLAN 10 ;
  • SRM pouvait ne pas accéder à l’Internet via PPPoE lorsque l’IPTV était activé ;
  • Les adresses IP pouvaient ne pas être obtenues auprès des FAI (fournisseurs de services Internet) après le redémarrage du routeur ;
  • Le RT2600ac pouvait ne pas accéder à certaines adresses HTTP via IP lorsqu’il était en mode AP sans fil ;
  • Les liens des rapports de trafic, dans les notifications par e-mail, pouvaient être invalides lorsque les noms des tâches de rapports contiennent des caractères spéciaux ;
  • La liste des appareils sur la page de contrôle du trafic pouvait afficher incorrectement les adresses IP des appareils bannis et déconnectés ;
  • Le statut d’un compte utilisateur pouvait être affiché comme « désactivé » immédiatement après qu’il ait été programmé pour être désactivé à une date ultérieure ;
  • Le routeur en mode AP sans fil pouvait ne pas envoyer de paquets aux passerelles spécifiques lorsqu’il y avait plusieurs routeurs et passerelles dans le réseau local ;
  • La redirection de port pouvait ne pas fonctionner correctement avec une connexion PPPoE après le redémarrage du routeur ;
  • SRM pouvait ne pas envoyer des e-mails de notification via des serveurs de messagerie avec des paramètres SSL/TLS ;
  • Les messages SNMP pouvaient ne pas contenir les informations SRM correctes ;
  • SRM pouvait ne pas renouveler le certificat Let’s Encrypt correctement ;
  • Ajustement des paramètres en mémoire pour MR2200ac afin d’éviter un redémarrage inattendu.

Oui, vous avez bien lu… il y a 20 corrections plus ou moins importantes !

Mise à jour de sécurité

  • Correction d’une faille de sécurité concernant la BSD (CVE-2019-20367) ;
  • Correction d’une faille de sécurité concernant hostapd (CVE-2019-16275) ;
  • Correction de plusieurs failles de sécurité concernant Dnsmasq (CVE-2019-15107 et CVE-2019-14834) ;
  • Correction d’une faille de sécurité concernant les noyaux Linux (CVE-2017-13168) ;
  • Correction d’une faille de sécurité concernant CallStranger (Synology-SA-20:13) ;
  • Correction de plusieurs failles de sécurité (Synology-SA-20:14).

Téléchargement et mise à jour

Le mise à jour SRM peut prendre un peu de temps à s’installer. Si votre routeur ne vous la propose pas de manière automatique (ou si vous êtes pressés), vous pouvez télécharger le fichier .pat directement depuis le site officiel ou alors via ce lien (site archive de Synology). Pour rappel, cette mise à jour pèse plus de 215 Mo. Pour l’installer, connectez-vous sur le routeur puis Panneau de configuration > Système et cliquez sur le bouton Mise à jour manuelle. Attention, l’opération prend environ 10 minutes et les connexions seront coupées durant cette phase.

Enfin, sachez que des paquets (pour les routeurs) ont également été mis à jour comme VPN Plus Server, Safe Access, Threat Prevention…

Attention : Suite à cette mise à jour, des lecteurs ont rencontré des problèmes avec Open VPN ou encore Threat Prevention.

    1. Attention il y a un bug avec Threat Prevention. Ce dernier n’est plus fonctionnel après la mise à jour.

  1. « Il aura fallu attendre 6 mois à Synology pour mettre à jour ses routeurs.  » Perso je préfère attendre un peu et avoir des vraies améliorations que des mises à jour successives qui ne corrige qu’un petit bug !
    Pour le reverse proxy étonnant ce serais un sacré plus !

  2. Moi ce qu’il m’énerve c’est que depuis une maj le VPN ne fonctionne plus correctement (avec openVPN).
    j’ai contacté le support de PureVPN qui a pris la main à distance sur mon routeur (via mon pc) et mis une autre liste + divers petits trucs mais cela n’a pas résolu le problème.
    Avant cette maj du Syno tout fonctionnait bien.
    J’ai alors contacté Synology qui n’a rien vérifié et qui m’a dit que le problème ne venait pas de chez eux.
    (avant le wifi était liée à une connexion VPN sur les US automatiquement.
    donc n’importe quel machine à la maison qui voulait accéder à un service US , n’avait qu’à se connecter à WifiUSA avec leur login/mot de passe habituel).
    En attendant que Synology corrige l’erreur j’ai dû acheter un autre routeur compatible DD-WRT et tout fonctionne à merveille).
    j’ai donc temporairement à la maison 1 modem routeur et derrière 2 routeurs.

    Maintenant la chose qui est superbe sur ce routeur est de l’utiliser avec une double connexion internet (vdsl & cable) et avoir la 4G comme backup).
    Là il est vraiment très bien fait même très professionel

  3. Et toujours pas de gestion des certificats let’s encrypt wildcard ….

    Concernant ça « Ajout de la prévention des attaques de broadcast via le filtrage MAC, qui empêche les appareils sans fil d’envoyer un grand nombre de paquets de diffusion en peu de temps et d’affecter l’utilisation normale des autres appareils ; » c’est pas vraiment au point, je me suis fait blacklister 3 périphériques « légitime » en 2 minutes. Vu qu’il n’y a pas moyen de déclarer des MAC à ignorer, j’ai désactivé la fonction …

  4. Bonjour à tous,

    Je viens de faire la mise à jour aussi en faisant confiance à ton article CACHEM et j’ai maintenant mes connexions VPN site à site HS et impossible de se connecter en OpenVPN. J’ai malheureusement lu trop tard les commentaires, notamment ceux d’Eric.

    Il est bon d’être le relai des infos de Synology, mais tu devrais être moins positif dans tes recommandations de mise à jour. Ton site est plutôt très bien fait ainsi que tes articles donc on te fait confiance trop vite.

    Pour moi l’article devrait commencer par surtout ne pas faire la mise à jour, des bugs ont été signalés et sur des connexions VPN c’est inacceptable cela fout en l’air mes backup à distance.

    Et s’il faut, comme pour Eric, acheter un nouveau routeur en attendant que Synology publie ses correctifs, cela fait cher la mise à jour : en argent et en temps.

    J’espère que tu vas corriger ton article et Syno son sa MAJ, sinon cela remet en cause l’objectivité des articles….

    Merci pour néanmoins l’intention, je continuerai de lire les articles…:)

    1. Salut,

      Tout d’abord, merci pour ton commentaire. C’est toujours sympa d’échanger avec vous et cela peut servir aux autres lecteurs.

      Je ne travaille pas pour Synology et j’ai un « vrai métier » qui est à des années-lumière de ce que je fais ici. Cachem est géré par une seule personne (même si deux personnes écrivent ponctuellement). Ensuite, je teste toujours les versions avant de donner mon avis. Ici encore, c’est ce que j’ai fait. Moi aussi, j’utilise le VPN Plus Server et il fonctionne parfaitement chez moi, mais je ne l’utilise pas PureVPN ou de VPN site à site.

      Je ne doute pas de ton souci ou celui d’Éric (message que je n’avais pas vu). Le seul truc, c’est que je ne peux pas tester toutes les configurations de tout le monde. Je n’ai qu’un routeur RT2600ac et MR2200ac achetés avec mes propres deniers. Je n’ai malheureusement pas les moyens d’en avoir plus et encore… je pense que je ne pourrais pas tester toutes les configurations. Aussi, pour ton souci, as-tu testé la mise à jour du paquet manuellement (1.3.8-0469 du 18 juin) ? Généralement, à la sortie d’une version importante de SRM, il y a toujours une mise à jour de VPN Plus Server.

      Comme toujours, il est conseillé d’attendre quelques jours avant de mettre une mise à jour. C’est ce qu’il faudrait faire, mais moi-même je suis trop impatient. Si vous utilisez votre matériel en tant que pro (c’est vrai pour Linux, Windows, DSM, SRM, QTS…), il faut patienter au moins une semaine et même plus, mais cela ne garantit en rien le fait qu’il peut y avoir un Bug.

      Les commentaires sont là pour tout le monde et je suis vraiment désolé de ce qu’il vous arrive. Comme indiqué précédemment, je n’ai pas vu le message d’Éric précédemment. J’ai été très pris ces derniers jours (mais ce n’est pas une excuse).

      Une mention spéciale a été ajoutée à l’article.

      Bon week-end.

  5. Merci Fx de ta réponse toujours aussi constructive et de ton avertissement.
    Bien évidemment que ton site est bien sinon nous ne serions pas nombreux à le consulter 🙂

    N’ayant plus accès au routeur sur lequel j’ai fait une mise à jour à distance (comme quoi j’apprends aussi et je suis également impatient), je n’ai pu faire la mise à jour des paquets. Dès que j’y ai accès (en me déplçant ou à l’aide de Teamwiever le sauveur), je mettrai à jour mon commentaire.

    A plus tard donc.

    Bonne soirée

    Cordialement,
    Téo

  6. Bonjour, suite des précautions à prendre pour la mise à jour vers 1.2.4.

    Tout d’abord, comme souligné à la fin de l’article de Fx: certains paquets ont été mis à jour.
    En fait, après la mise à jour vers 1.2.4, certains paquets ne fonctionnent plus et ont été arrêtés.

    Pour ce qui me concerne: VPNserver et Threat Prevention, d’où la coupure de mon VPN site à site et le non fonctionnement d’OpenVPN.

    Il faut donc prévoir/savoir faire la mise à jour de ces paquets pour rétablir leur fonctionnement.

    Après MAJ des paquets ci-dessus:
    * VPN site à site OK
    * Connexion à mon routeur distant (AC2600) via OpenVPN: OK
    * Connexion du routeur via OpenVPN sur Nordvpn: OK
    * Threat Prevention: en statut OK

    Pour mémo, même si la mise à jour des paquets est configurée en automatique, il y a un warning qui dit que certains paquets ne se mettent pas obligatoirement à jour en automatique, il faudra donc le faire en manuel.

    Je ne sais pas si cela aidera Eric, mais je l’espère.

    Donc pour FX, désolé de ma vivacité excessive hier soir, il s’agit d’être un peu plus méthodique dans les MAJ, et d’être moins impatient 🙂

    Bonne journée

  7. Bonjour, merci pour cet super artcile, comme d’habitude 🙂
    Petite question j’espère pas trop HS : le RT-2600AC dispose de deux trous à l’arrière pour le fixer au mur à l’aide de vis mais l’appareil ne touche pas le mur…

    Je ne vois pas comment faire en pratique ? Imprimer une pièce en 3D ou une astuce simple ?

    Merci 🙂

  8. Bonjour,
    Merci pour toutes les infos…
    Petit coup de gueule !!!
    Je me demande si les ingénieurs de Synology utilisent réellement leur matériels.
    il y a deux semaines, juste avant un gros orage, j’ai du arreter le RT2600 « en mode hard » puisqu’il n’y a pas d’autre option d’arret sur ce routeur, résultat, j’ai été bon pour repasser apres en conf usine car le routeur ne répondait plus.
    C’est plus que limite, Synology m’a dit qu’il n’y avait jamais eu de probleme ! tout le monde sait qu’il n’est jamais recommandé d’arreter un OS en hard, c’est le minimum technique !
    Avec la desagreable impression d’avoir été pris pour un jambon, je me suis très vite rabattu sur un miniPc avec Pfsense, cela m’a pris du temps pour le configurer mais au moins, maintenant ça tourne sans problème !!
    De plus l’option OpenVpn fonctionne nickel, tout est parfait…
    Adieu le RT2600

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.