Mettre En Place Une Config Reverse Proxy

[Diaoul]

J'imagine que c'est ça : http://cbonte.github.com/haproxy-dconv/configuration-1.5.html#7-src

Donc

if { src 192.168.0.1/20 }[/CODE]

dans une Association devrait le faire.

[Lejoss]

Une solution :

<VirtualHost *:>

ServerName dsm.mondomaine.fr

Redirect / https://dsm.mondomaine.fr

</VirtualHost>


<VirtualHost *:443>

ServerName dsm.mondomaine.fr

SSLEngine on

SSLProxyEngine on

SSLCipherSuite HIGH:MEDIUM

SSLProtocol all -SSLv2

SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt

SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key

ProxyPass / https://localhost:5001/

ProxyPassReverse / https://localhost:5001/

</VirtualHost>

Je vais essayer ça

[DjMomo]

Hello tout le monde

Je vais mettre ma pierre a l'edifice...lol

alors perso ( et je dis bien perso ) je n'aime pas du tout cette config pour un seul point

Il faut ouvrir le port et le 443 ..

Evident sinon comment le browser peut switcher de HTTP a HTTPS

Mais bon je suis d'accord que la feignantise de taper HTTPS/// devant le liens est difficile ...lol

et puis en plus ce n'est pas tres propres niveau config

car vous encapsuler du HTTPS dans du HTTP, sa peut fonctionner pour certaine applis mais pas toute d'ailleur c'est ce qu'il se passe

Pour basculer de HTTP en HTTPS il faut utiliser le Rewriting d'URL

en gros quand tu tape MON_SITE.DOMAINE.COM le reverse proxy va re-ecrire ( tu le verra dans ta barre d'adresse ) HTTPS://CE_QUE_TU_SOUHAITE

C'est nettement plus propre que de faire tout un tas de "cochonnerie" dans les fichier de config

Ne prenez pas mal mes propos faut plutot le prendre a la rigolade..

pas mal le HAPROXY dispo quand ?

Donc tu souhaites faire du http sur le port 443 ou du https sur le port , vu que tu souhaites ouvrir qu'un seul port. Donc tu auras forcément le port affiché dans l'URL a un moment : soit quand tu tapes http://tondomaine.com vers le port 443, soit à la redirection en https://tondomaine.com vers le port . Pas du tout pratique....

[Lejoss]

Hello tout le monde

Je vais mettre ma pierre a l'edifice...lol

alors perso ( et je dis bien perso ) je n'aime pas du tout cette config pour un seul point

Il faut ouvrir le port et le 443 ..

Evident sinon comment le browser peut switcher de HTTP a HTTPS

Mais bon je suis d'accord que la feignantise de taper HTTPS/// devant le liens est difficile ...lol

et puis en plus ce n'est pas tres propres niveau config

car vous encapsuler du HTTPS dans du HTTP, sa peut fonctionner pour certaine applis mais pas toute d'ailleur c'est ce qu'il se passe

Pour basculer de HTTP en HTTPS il faut utiliser le Rewriting d'URL

en gros quand tu tape MON_SITE.DOMAINE.COM le reverse proxy va re-ecrire ( tu le verra dans ta barre d'adresse ) HTTPS://CE_QUE_TU_SOUHAITE

C'est nettement plus propre que de faire tout un tas de "cochonnerie" dans les fichier de config

Ne prenez pas mal mes propos faut plutot le prendre a la rigolade..

pas mal le HAPROXY dispo quand ?

Pour cela, faut-il que j'ajoute :

LoadModule rewrite_module modules/mod_rewrite.so

et :

<VirtualHost *:>

RewriteEngine on

RewriteRule dsm.mondomaine.com https://dsm.mondomaine.com

</VirtualHost>

C'est bien ça ?

Modifié le 19 octobre 2012 par Lejoss

[Petit_bill]

@DjMomo : Non je ne souhaite rien faire de tout ça. perso je n'ouvre que le port 443 et je fait passer toutes mes requette via ce port

Je n'utilise pas de URL rewriting ou de redirection de port, mais je dois obligatoirement ajouter "HTTPS" a toute mes urls

et je ne rajoute jamais le port a la fin de mon URL puisque je ne fait jamais de du HTTP classque tout est en SSL.

@Lejoss : Je ne pense pas qu'il faille rejouter les modules, a verifier je ne m'en souvient plus, par contre je l'ecrirais comme ça :

<VirtualHost *:>

RewriteEngine On

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)$ https://**************/$1 [L,R]

</VirtualHost>

ça devrait fonctionner

Bonne journée

[bud77]

J'ai voulu tenter rapidement ce matin avant d'aller au boulot d'activer le DSM en SSL

J'ai tout bien mis dans le fichier revproxy.conf et j'ai le port 443 d'ouvert

Lorsque je redemarre l'apache j'ai un message :

[warn] _default_ VirtualHost overlap on port 443, the first has precedence

J'ai rien qui tourne en https à part photostation, et je sais pas trop ce qui tourne en plus

J'ai malgré tout tenté d'accéder a mon url "https://webman......" j'ai bien la notification de sécurité, puis la charge ne se charge plus une fois que j'ai validé

Edit : en faisant un "netstat -an |grep 443", je vois bien quelque chose tourner, mais en pid 0, et ppid 0...

je tente un reboot au cas ou ...

Modifié le 19 octobre 2012 par bud77

[Lejoss]

J'ai voulu tenter rapidement ce matin avant d'aller au boulot d'activer le DSM en SSL

J'ai tout bien mis dans le fichier revproxy.conf et j'ai le port 443 d'ouvert

Lorsque je redemarre l'apache j'ai un message :

J'ai rien qui tourne en https à part photostation, et je sais pas trop ce qui tourne en plus

J'ai malgré tout tenté d'accéder a mon url "https://webman......" j'ai bien la notification de sécurité, puis la charge ne se charge plus une fois que j'ai validé

Essaye de mettre :

NameVirtualHost *:443

avant tes déclarations de VirtualHosts *:443

[bud77]

Essaye de mettre :

NameVirtualHost *:443

avant tes déclarations de VirtualHosts *:443

Ca m'apprendra à lire çà la tête pas réveillée ce matin

Ligne rajouté (via ssh sur un iPhone ...) et çà fonctionne

Encore merci

[Lejoss]

@DjMomo : Non je ne souhaite rien faire de tout ça. perso je n'ouvre que le port 443 et je fait passer toutes mes requette via ce port

Je n'utilise pas de URL rewriting ou de redirection de port, mais je dois obligatoirement ajouter "HTTPS" a toute mes urls

et je ne rajoute jamais le port a la fin de mon URL puisque je ne fait jamais de du HTTP classque tout est en SSL.

@Lejoss : Je ne pense pas qu'il faille rejouter les modules, a verifier je ne m'en souvient plus, par contre je l'ecrirais comme ça :

<VirtualHost *:>

RewriteEngine On

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)$ https://**************/$1 [L,R]

</VirtualHost>

ça devrait fonctionner

Bonne journée

En fait, ne m'en sortant pas avec les "rewrite", j'ai un fouillé sur le net et j'ai trouvé que c'était un peu l'artillerie lourde quand même... Alors, j'ai utilisé (merci Kramlech) :

<VirtualHost *:>

ServerName dsm.mondomaine.fr

Redirect / https://dsm.mondomaine.fr

</VirtualHost>

C'est plus simple et ça marche nickel.

Enfin la redirection marche... Safari refuse toujours, Chrome et Opéra font semblant (la connexion n'est pas sécurisée) et Firefox m'annonce que la connexion est chiffrée... en gros, il faut que je revoies le certificat...

Modifié le 19 octobre 2012 par Lejoss

[bud77]

Ca m'apprendra à lire çà la tête pas réveillée ce matin

Ligne rajouté (via ssh sur un iPhone ...) et çà fonctionne

Encore merci

Edit : Ca fonctionne a moitié ...

La page commence à se charger (je vois le title de la page) puis timeout à chaque fois

[Petit_bill]

@Lejoss : plus simple certes mais tu dois le faire pour tout tes virtual host

Perso j'ai 9 virtualHost ( DSM, Photostation, downloadStation ..Etc..... )

Donc le re-writing est le plus simple enfin je trouve mais les gout et les couleur ...lol

Bonne journée

[Lejoss]

@Petit_Bill : Je vais regarder ton truc car finalement, ce n'est pas un pb de certificat...

[flipper]

question

est ce que je pourrais faire passer dans le port 443 l'acces au DSM, au ftp et au ssh?

Modifié le 3 novembre 2012 par flipper

[CoolRaoul]

est ce que je pourrais faire passer dans le port 443 l'acces au DSM,

Je ne comprend pas pourquoi tu poses cette question: l'acces DSM en https c'est *justement* ce que j'ai pris comme exemple dans mon (lignes suivant le titre "Cas de l'acces à l'interface DSM")

au ftp et au ssh?

Le reverse proxy étant implémenté au sein du serveur Apache, il peut prendre en compte uniquement les connexions utilisant le protocole HTTP(S).

La réponse est par conséquent négative.

[flipper]

Quelle serait la solution alors ? Pour acc

[PiwiLAbruti]

La solution est HAProxy actuellement en beta sur SynoCommunity (comme c'est déjà indiqué plus haut).

Avec HAProxy, il est possible de faire passer différents protocoles sur un même port.

Pour l'instant ce paquet est en cours d'amélioration pour le rendre plus accessible aux novices.

[Flat4Jack]

Petite question au passage. Comment fait-on pour récupérer l'adresse IP qui se connecte au reverse proxy dans les logs du syno? Car avec la manip localhost on se retrouve toujours avec un 127.0.0.1

J'ai bien essayé un ProxyPreserveHost On mais je ne suis pas sur que ce soit la bonne commande...

Ca m'embête de ne pas avoir les IP des personnes qui se connectent au moyen de l'adresse web spécifiée dans le reverse proxy.

[CoolRaoul]

Petite question au passage. Comment fait-on pour récupérer l'adresse IP qui se connecte au reverse proxy dans les logs du syno? Car avec la manip localhost on se retrouve toujours avec un 127.0.0.1

J'ai bien essayé un ProxyPreserveHost On mais je ne suis pas sur que ce soit la bonne commande...

Ca m'embête de ne pas avoir les IP des personnes qui se connectent au moyen de l'adresse web spécifiée dans le reverse proxy.

C'est en effet le probleme, moi aussi je pensais que le "ProxyPreserveHost On" puisse le résoudre mais ça n'a pas l'effet que j'espérais non plus.

[Petit_bill]

C'est en effet le probleme, moi aussi je pensais que le "ProxyPreserveHost On" puisse le résoudre mais ça n'a pas l'effet que j'espérais non plus.

hello

moi aussi j'ai chercher commetn on conservait les IP via le reverse proxy ba j'ai pas trouver

j'ai moi meme essayer cette commande mais sans effet...

et c'est chiant car quand quelqun bloque sont acces avec 3 mauvais mot de passe et ba il bloque le nas lui meme

et non pas l'adresse ip du relou qui a oublier sont mot de passe...

donc je suis preneur si vous trouver

bonne soiree

[aurelized]

merci encore pour ce topic assez interessant. j aurais deux questions:

• si on utilise localhost plutot que l url du nas, n y a t il pas un pb le jour ou l on ajoute un deuxieme nas sur le reseau?
  
• ne peut on pas utiliser un CNAME pour rediriger webdav.domain.com vers domain:5005.com? quel est alors l'interet du reverse proxy (pour quelqu un qui a un nom de domaine bien sur)?
  

merci

[CoolRaoul]

merci encore pour ce topic assez interessant. j aurais deux questions:

• si on utilise localhost plutot que l url du nas, n y a t il pas un pb le jour ou l on ajoute un deuxieme nas sur le reseau?
  

Je ne vois pas quel probleme cela pourrait poser, le reverse proxy tel que décrit ici redirige les requetes sur le NAS local. La présence d'un deuxième NAS n'a aucune raison de perturber quoi que ce soit.

Mettre localhost au lieu de l'ip du nas sert a ne pas coder en dur (et de façon totalement inutile) cette addresse dans la config du proxy

• ne peut on pas utiliser un CNAME pour rediriger webdav.domain.com vers domain:5005.com? quel est alors l'interet du reverse proxy (pour quelqu un qui a un nom de domaine bien sur)?
  

Un cname permet de substituer un nom de *host* à un autre, mais il est tout à fait sans effet sur le *port*.

Modifié le 20 novembre 2012 par CoolRaoul

[aurelized]

merci pour ces reponses

mais s il y a deux nas, donc deux host potentiels, comment sait il celui dont on parle?

Ok je pensais qu on pouvait ajouter le port sur le CNAME, merci pour cet eclaircissement

[patobiskoto]

C'est au niveau de ton routeur de bien faire les redirection entre ton nas A et ton nas B.

genre si ton contacte ton ip publique sur le port ou 443, ton routeur redirige vers l'ip locale de ton nas A par contre si tu la contacte sur le 8080 ton routeur redirige sur ton nas B.

Dans ces deux cas, le localhost défini dans la configuration du proxy du nas contacté serra bien l'interface locale de celui-ci.

Modifié le 20 novembre 2012 par patobiskoto

[aurelized]

aaa ok

localhot designe le routeur (qui redirige ensuite) et pas le nas?

au temps pour moi

merci

[patobiskoto]

C'est pas tout à fait ça.

Je prend l'exemple de mon PC:

- IP : 192.168.1.2

- Passerelle (IP de mon routeur) : 192.168.1.1

- IP interne de ma carte réseau : 127.0.0.1 ce qui correspond à localhost.

J'ai un routeur:

- IP privée (sur mon réseau) : 192.168.1.1

- IP publique (son IP sur internet) : 10.0.0.1

- IP interne de ma carte réseau : 127.0.0.1 ce qui correspond à localhost.

Je souhaite recevoir une requête venant d'internet sur le port de mon PC.

Je vais donc configurer une redirection sur mon routeur: en d'autres termes, je vais lui dire de rediriger toute requête qu'il reçoit sur le port vers le port de mon PC.

Donc depuis internet, la requête va partir en direction de l'ip publique de mon routeur (10.0.0.1) sur le port . Le routeur intercepte cette requête et la redirige sur l'ip de mon PC (192.168.1.2) sur son port .

quoi qu'il en soit, d'un point de vue routeur, son IP publique est 10.0.0.1, son IP privée est 192.168.1.1 et son IP interne est 127.0.0.1 (associée au nom DNS localhost). Le localhost est en fait l'ip de lookup. Par exemple si tu ping localhost, tu ne vas jamais sortir de ton PC alors que si tu ping 192.168.1.1 tu ping ton routeur. Ce n'est pas très clair je crois

Toute carte réseau à une adresse de lookup ou localhost

Modifié le 20 novembre 2012 par patobiskoto