Mise En Place Haproxy. Probl

[Math76]

Bonjour,

J'ai besoin de la communauté car je galère à mettre en place HAProxy. J'ai beau avoir suivi plein de tuto ici et ailleurs mais rien n'y fait. Pourtant j'ai bien respecté tout les pré-requis de mise en place. Alors commençons par ça:

- Syno DS213j derrière une Box routeur d'OVH.

- Les ports sur la box et 443 sont bien redirigés vers l'IP du syno sur 5080 et 5443.

- Parefeu du Syno ouvert sur 5080 et 5443

- J'ai un nom de domaine OVH type mondomaine.ovh et un CNAME dsm.mondomaine.ovh. Ping OK sur les deux.

- J'ai aussi un certificat gratuit chez StartSSL class1 tout est au vert.

Pour la sécurité je n'utilise que le HTTPS et j'ai changé le port d'administration au DSM.

Donc quand je suis sur une connexion internet externe et que je rentre

https://mondomaine.ovh:15001-> J'accede à l'interface de DSM de mon Syno idem pour https://dsm.mondomaine.ovh:15001

- Installation d'HAProxy par défaut. Juste le changement du port dans le backend dsm en 15001.

Quand je tape:

https://mondomaine.ovh-> Je me retrouve avec Webstation

https://dsm.mondomaine.ovh-> Idem Webstation

J'ai retourné le problème dans tout les sens rien n'y fait. Des fois j'arrive à avoir des erreurs 503 ou 502. Bref j'ai besoin d'aide pour savoir ou ça bloque. Alors que ça à l'air assez simple à mettre en place.

Merci d'avance.

[gaetan.cambier]

après avoir modifier le backend, as-tu "ecris les modification" en appuyant sur le bouton ?

[Math76]

Oui j'enregistre à chaque modification.

[gaetan.cambier]

bon, ca viens du fait que tu redirige ton backend vers un port ssl sans le specifier

le mieux :

dans haproxy, vu que de toute facon, le connection se fait en localhost, donc, le https est inutile, utilise le http, --> change ton port 15001 par la version normale (le 5000 d'origine)

par la suite, ton but est de surrement tout faire passer par haproxy, et il y a moyen, dans haproxy, de bloquer les connection qui n'utilise pas le https pour les backend que tu desire par exemple

[Math76]

bon, ca viens du fait que tu redirige ton backend vers un port ssl sans le specifier

Ok et on le spécifie comment? moi j'ai ça dans ma config HAProxy:

le mieux :

dans haproxy, vu que de toute facon, le connection se fait en localhost, donc, le https est inutile, utilise le http, --> change ton port 15001 par la version normale (le 5000 d'origine)

Je ne voudrais pas ouvrir ce port en fait. Je voudrais que tout reste en HTTPS

par la suite, ton but est de surrement tout faire passer par haproxy, et il y a moyen, dans haproxy, de bloquer les connection qui n'utilise pas le https pour les backend que tu desire par exemple

Oui exactement je voudrai ensuite faire d'autres sousdomaine en music.mondomaine.ovh pour audiostation. Mais déjà je voudrais comprendre avant

[gaetan.cambier]

tu rajoute "ssl verify none" sans le backend

mais c'est inutile de dialoquer en localhost en https, ca va juste surcharge le processeur qui va devoir gérer le double de session ssl/tls, augmenter la latence

le procedure normale c'est :

          https           http
internet --- ----haproxy --------dsm ou autre service

Modifié le 22 avril 2015 par Gaetan Cambier

[Math76]

Merci Gaetan des explications. Je vais remettre ma config à plat et refaire ça propre.

[Math76]

Après avoir remis ma config complètement à plat j'arrive de nouveau à faire fonctionner HAProxy. Mais j'ai encore 2 choses que je n'arrive pas à faire.

Quand je tape mondomaine.fr/music/

J'arrive bien son audio station par de problème. Mais je voudrais enlever le dernier "/" quand j'écris mon url et je ne trouve pas la bonne option dans le backend à mettre. Actuellement j'ai ça:

Nom:

music

Serveurs:

music localhost:8800 check

Options:

reqrep ^([^ :]*) /music/(.*) 1 /2

Et l'autre question qui en découle c'est que dans DS Audio l'app pour Android si je tape mondomaine.fr/music/ ça ne se connecte pas...

Merci de votre aide.

[nasmanu]

j'ai le meme soucis de que toi pour les slash de fin, j'ai trouvé quelques infos complémentaires sur la commande reqrep, regarde mon tout dernier post :

Par contre au niveau des applications je n'ai pas de problème car je met directement le port à la fin (je suis sous ios)

Pour ma part j'accède à toutes les application comme cela : mon.domaine.fr:443

[Math76]

Oui je suis tombé sur les posts que toi dans mes recherche mais je suis une grosse brèle en expression régulière du coup je bloque aussi.

Parfait pour le port 443 dans les applications Android ça marche.

On se tient au courant si on trouve la solution de la perte du / de fin.

[gaetan.cambier]

Je regarderai aussi pour le trailing slash, j'ai toujours laissé comme ça chez moi mais ça serai bien de le réglé