Aller au contenu

Haproxy-B


chr!x

Messages recommandés

  • 2 semaines après...
  • 3 mois après...

Bonjour,

Après m'être battu quelques jours avec HAproxy, cela tourne enfin comme il faut. Cela, en grande partie grace à l'aide que m'a apporté ce post. Merci à tous.

Néanmoins, il me reste un petit souci, j'ai un certificat startssl pour mon photostation.

Si je me loggue directement sur le port 443, il utilise le certificat startssl, si je me loggue via Haproxy, il utilise le certificat par défaut de Synology.

Je ne comprends pas comment déclarer le certificat Startssl dans HAproxy.

J'ai bien lu:

Pour la config HAPrioxy, tu as deux solutions.

- Soit tu déclares tous tes certificats comme ceci :

:5443 ssl crt /usr/local/haproxy/var/crt/certificat_1.pem crt /usr/local/haproxy/var/crt/certificat_2.pem crt /usr/local/haproxy/var/crt/certificat_3.pem et ainsi de suite

- Soit tu déclares le dossier où se trouve tes certificats de cette façon :

:5443 ssl crt /usr/local/haproxy/var/crt/

Mais, euh..., je ne comprends pas plus.

Un petit exemple pratique m'aiderait probablement.

De plus, dans quel répertoire se trouvent les certificats déclarés sur le Synology?

Peut-on préciser le quel on veut utiliser en fonction des sous-domaines...?

Merci d'avance,

Georges.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai accès aux statistiques de HAproxy à partir de l'extérieur de mon réseau en tapant l'adresse http://mondomaine/haproxy?stats et ce sans rentrer de mot de passe!

Par contre, en local, je dois rentrer le mot de passe!

Comment puis-je supprimer l'accès externe (et/ou activer le mot de passe ) ?

Merci.

Georges.

Modifié par goerges
Lien vers le commentaire
Partager sur d’autres sites

Sauf, que je n'ai rien configuré de particulier, c'est le comportement par défaut semble t-il.

Comment puis-je changer cela ?

Je suis assez étonné que personne ne se soit intéressé à ce problème! Suis-je le seul à l'avoir ? Je ne pense pas.

J'ai néanmoins trouvé la solution.

Comme dit Gaetan Cambier, Il faut modifier le fichier de config haproxy.cfg qui se trouve dans /usr/local/haproxy/var/

Dans le fichier, on supprime simplement

stats enable

de "defaults"

Après ça, on a encore accès aux stats en local via le port 8280 mais plus depuis l'extérieur du réseau.

Il ne faut pas oublier de redémarrer le paquet HAproxy

Georges

Edit: J'ai malheureusement remarque que si l'on faisait une modification via Haproxy et que l'on écrivait la configuration, ceci remettait "stats enable" dans "default" dans HAproxy.cfg.

Diaoul, si tu m'entends... ;-)

Modifié par goerges
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Hello

J'ai un souci avec HAProxy, j'essaie de l'utiliser pour faire reverse-proxy des applications DSM et site web mais si je ne met pas l'application DSM en default, j'ai une page blanche si j'essaie d'ouvrir n'importe laquelle des 3 applications. Pourtant, je n'aimerais mieux pas ouvrir le DSM sur le 443, je préfère utiliser un port non standard pour le DSM, ou dans le cas ou il le faut, en tous cas ne pas le mettre par défaut !

Arrivez-vous me dire ce que je foire ? Merci bien !

global
	daemon
	maxconn 256
	log localhost user info
	spread-checks 10
	tune.ssl.default-dh-param 2048

defaults
	mode http
	stats enable
	default-server inter 30s fastinter 5s
	log global
	option httplog
	timeout connect 5s
	timeout client 50s
	timeout server 50s
	timeout tunnel 1h

listen stats :8280
	stats uri /
	stats show-legends
	stats refresh 10s
	stats realm Haproxy Statistics

frontend https
	bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3
	option http-server-close
	option forwardfor
	rspirep ^Location: http://(.*)$    Location: https://1
	rspadd Strict-Transport-Security: max-age=31536000; includeSubDomains
	use_backend audio if { path_beg /audio }
	use_backend download if { path_beg /download }
	use_backend file if { path_beg /file }
	default_backend web

backend audio
	reqrep ^([^ :]*) /audio/(.*)     1 /2
	server audio localhost:8800 check

backend download
	reqrep ^([^ :]*) /download/(.*)     1 /2
	server download localhost:8000 check

backend file
	reqrep ^([^ :]*) /file/(.*)     1 /2
	server file localhost:7000 check

backend web
	server web localhost: check


Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Quelqu'un pourrait m'expliquer comment faire passer CloudStation sur mon 443, en gros actuellement je fait comme ca

 

Frontend 1 Ecoute sur : port 80

Si quelque chose arrive alors redirige sur 443

Frontend 2 Ecoute sur : 443

Si sa commence par cloud redirige vers : 6690

dsm 5000

 

etc etc .. vous l'aurez compris.

Sauf que vu que cloudstation fonctionne en tcp et pas en http je n'arrive pas a configurer le logiciel depuis l'extérieur...

 

Comment faire, sans refaire une redirection de port exotique ? (je tiens vraiment a n'avoir que 2 ports ouverts)

 

Merci bcp

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Pour la config HAPrioxy, tu as deux solutions.

................................

- Soit tu déclares le dossier où se trouve tes certificats de cette façon :

:5443 ssl crt /usr/local/haproxy/var/crt/

.................

De plus, dans quel répertoire se trouvent les certificats déclarés sur le Synology?

Peut-on préciser le quel on veut utiliser en fonction des sous-domaines...?

Merci d'avance,

Georges.

Moi j'ai fait comme ca:

Petit exemple pratique:

 tu déclares le dossier où se trouve tes certificats de cette façon :

:5443 ssl crt /usr/local/haproxy/var/crt/

puis concaténation dans un fichier.pem en respectant cet ordre (pour chaque sous domaine):

-certificat starssl (crt/pem)
-private key (server.key)
-root starcom cert. (ca.pem)
intermediary cert. (*intermediary*....pem)

PS: attention format fichier linux  LF non windows CRLF

 

"Peut-on préciser le quel on veut utiliser en fonction des sous-domaines...?"

supprimer default.pem

placer les sousdomaines.pem  dans  /usr/local/haproxy/var/crt/

puis "ecrire configuration" dans l'interface HAproxy

ET .............. c tout,

                     chaque connexion utilise le certif approprie au ss domaine considéré.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.