Haproxy-B

[Sylm_fr]

Il faut peut etre vérifier que le port 9900 est toujours associé a Surveillance Station sur cetaines mises à jour il perdait cette conf

Vérifier la config du firewal syno

Sinon ne pas oublier de mettre à jour le plugin SS

[CHILLY996]

Je n'ai pas activé le firewall du syno car j'ai celui de mon routeur.

Le port 9900 n'a pas changé et il fonctionne en interne.

Le plugin est OK.

Je ne vois pas ce que celà peut-être ...

[harlockbaz]

Bonjour,

je n'arrive pas à accéder à note station via haproxy :

dans backends :

note note localhost:9350 check

dans associations :

https note if { hdr_beg(Host) -i note. }

Une idée?

[gaetan.cambier]

en fait c'est plus que note qui ne fonctionne pas, les redirection vers les paquet ne fonctionne plus generalement : j'ai tester note srveillance et download meme resultat :s

[CHILLY996]

Je plussoie pour surveillance station qui ne fonctionne plus via HAProxy ...

[gaetan.cambier]

j'ai rien dis en fait tout fonctionne, j'avais tenté avec cloudflare activé pour eviter les problème de loopback ... le nas a pas aimé

[lololo]

juste pour dire un grand MERCI, je peux enfin installer haproxy sur mon ds415+

[goerges]

Bonjour,

Après m'être battu quelques jours avec HAproxy, cela tourne enfin comme il faut. Cela, en grande partie grace à l'aide que m'a apporté ce post. Merci à tous.

Néanmoins, il me reste un petit souci, j'ai un certificat startssl pour mon photostation.

Si je me loggue directement sur le port 443, il utilise le certificat startssl, si je me loggue via Haproxy, il utilise le certificat par défaut de Synology.

Je ne comprends pas comment déclarer le certificat Startssl dans HAproxy.

J'ai bien lu:

Pour la config HAPrioxy, tu as deux solutions.

- Soit tu déclares tous tes certificats comme ceci :

:5443 ssl crt /usr/local/haproxy/var/crt/certificat_1.pem crt /usr/local/haproxy/var/crt/certificat_2.pem crt /usr/local/haproxy/var/crt/certificat_3.pem et ainsi de suite

- Soit tu déclares le dossier où se trouve tes certificats de cette façon :

:5443 ssl crt /usr/local/haproxy/var/crt/

Mais, euh..., je ne comprends pas plus.

Un petit exemple pratique m'aiderait probablement.

De plus, dans quel répertoire se trouvent les certificats déclarés sur le Synology?

Peut-on préciser le quel on veut utiliser en fonction des sous-domaines...?

Merci d'avance,

Georges.

[Diaoul]

Importe le certificat dans DSM puis fait regénérer les certificats (ou qqch comme ça) dans HAProxy.

[goerges]

Importe le certificat dans DSM puis fait regénérer les certificats (ou qqch comme ça) dans HAProxy.

Rhooooo, je suis stupide !

Merci.

[goerges]

Bonjour,

J'ai accès aux statistiques de HAproxy à partir de l'extérieur de mon réseau en tapant l'adresse http://mondomaine/haproxy?stats et ce sans rentrer de mot de passe!

Par contre, en local, je dois rentrer le mot de passe!

Comment puis-je supprimer l'accès externe (et/ou activer le mot de passe ) ?

Merci.

Georges.

Modifié le 4 avril 2015 par goerges

[gaetan.cambier]

La redirection utilisée dans la config pointe sur localhost >> pas d'identification

[goerges]

La redirection utilisée dans la config pointe sur localhost >> pas d'identification

Sauf, que je n'ai rien configuré de particulier, c'est le comportement par défaut semble t-il.

Comment puis-je changer cela ?

[goerges]

Sauf, que je n'ai rien configuré de particulier, c'est le comportement par défaut semble t-il.

Comment puis-je changer cela ?

Je suis assez étonné que personne ne se soit intéressé à ce problème! Suis-je le seul à l'avoir ? Je ne pense pas.

J'ai néanmoins trouvé la solution.

Comme dit Gaetan Cambier, Il faut modifier le fichier de config haproxy.cfg qui se trouve dans /usr/local/haproxy/var/

Dans le fichier, on supprime simplement

stats enable

de "defaults"

Après ça, on a encore accès aux stats en local via le port 8280 mais plus depuis l'extérieur du réseau.

Il ne faut pas oublier de redémarrer le paquet HAproxy

Georges

Edit: J'ai malheureusement remarque que si l'on faisait une modification via Haproxy et que l'on écrivait la configuration, ceci remettait "stats enable" dans "default" dans HAproxy.cfg.

Diaoul, si tu m'entends... ;-)

Modifié le 4 avril 2015 par goerges

[gaetan.cambier]

tu trouvera ton bonheur dans le fichier :

/usr/local/haproxy/var/haproxy.cfg.tpl

[karsayor]

Hello

J'ai un souci avec HAProxy, j'essaie de l'utiliser pour faire reverse-proxy des applications DSM et site web mais si je ne met pas l'application DSM en default, j'ai une page blanche si j'essaie d'ouvrir n'importe laquelle des 3 applications. Pourtant, je n'aimerais mieux pas ouvrir le DSM sur le 443, je préfère utiliser un port non standard pour le DSM, ou dans le cas ou il le faut, en tous cas ne pas le mettre par défaut !

Arrivez-vous me dire ce que je foire ? Merci bien !

global
	daemon
	maxconn 256
	log localhost user info
	spread-checks 10
	tune.ssl.default-dh-param 2048

defaults
	mode http
	stats enable
	default-server inter 30s fastinter 5s
	log global
	option httplog
	timeout connect 5s
	timeout client 50s
	timeout server 50s
	timeout tunnel 1h

listen stats :8280
	stats uri /
	stats show-legends
	stats refresh 10s
	stats realm Haproxy Statistics

frontend https
	bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3
	option http-server-close
	option forwardfor
	rspirep ^Location: http://(.*)$    Location: https://1
	rspadd Strict-Transport-Security: max-age=31536000; includeSubDomains
	use_backend audio if { path_beg /audio }
	use_backend download if { path_beg /download }
	use_backend file if { path_beg /file }
	default_backend web

backend audio
	reqrep ^([^ :]*) /audio/(.*)     1 /2
	server audio localhost:8800 check

backend download
	reqrep ^([^ :]*) /download/(.*)     1 /2
	server download localhost:8000 check

backend file
	reqrep ^([^ :]*) /file/(.*)     1 /2
	server file localhost:7000 check

backend web
	server web localhost: check

[aqwxszdds123]

Quelqu'un pourrait m'expliquer comment faire passer CloudStation sur mon 443, en gros actuellement je fait comme ca

 

Frontend 1 Ecoute sur : port

Si quelque chose arrive alors redirige sur 443

Frontend 2 Ecoute sur : 443

Si sa commence par cloud redirige vers : 6690

dsm 5000

 

etc etc .. vous l'aurez compris.

Sauf que vu que cloudstation fonctionne en tcp et pas en http je n'arrive pas a configurer le logiciel depuis l'extérieur...

 

Comment faire, sans refaire une redirection de port exotique ? (je tiens vraiment a n'avoir que 2 ports ouverts)

 

Merci bcp

[alca2k2]

Pour la config HAPrioxy, tu as deux solutions.

................................

- Soit tu déclares le dossier où se trouve tes certificats de cette façon :

:5443 ssl crt /usr/local/haproxy/var/crt/

.................

De plus, dans quel répertoire se trouvent les certificats déclarés sur le Synology?

Peut-on préciser le quel on veut utiliser en fonction des sous-domaines...?

Merci d'avance,

Georges.

Moi j'ai fait comme ca:

Petit exemple pratique:

 tu déclares le dossier où se trouve tes certificats de cette façon :

:5443 ssl crt /usr/local/haproxy/var/crt/

puis concaténation dans un fichier.pem en respectant cet ordre (pour chaque sous domaine):

-certificat starssl (crt/pem)
-private key (server.key)
-root starcom cert. (ca.pem)
intermediary cert. (*intermediary*....pem)

PS: attention format fichier linux  LF non windows CRLF

 

"Peut-on préciser le quel on veut utiliser en fonction des sous-domaines...?"

supprimer default.pem

placer les sousdomaines.pem  dans  /usr/local/haproxy/var/crt/

puis "ecrire configuration" dans l'interface HAproxy

ET .............. c tout,

                     chaque connexion utilise le certif approprie au ss domaine considéré.