nasmanu Posté(e) le 26 avril 2015 Posté(e) le 26 avril 2015 (modifié) Bonjour à tous, J'ai un soucis de configuration avec HAProxy et j'aurais besoin de votre aide Situation : J'ai mon nom de domaine, on va dire toto.fr Translation de port ok : => 5080 | 443 => 5443 J'accède au nas via nas.toto.fr => haproxy redirige bien vers la page du dsm Le nom toto.fr renvois sur le site web par défaut du nas J'ai activé le portail des application pour toutes les applications (filestation audiostaion, etc). J'y accède par nas.toto.fr/NomApplication Configuration de HAProxy : global daemon maxconn 256 log localhost user info spread-checks 10 tune.ssl.default-dh-param 2048 defaults mode http stats enable default-server inter 30s fastinter 5s log global option httplog timeout connect 5s timeout client 50s timeout server 50s timeout tunnel 1h listen stats :8280 stats uri / stats show-legends stats refresh 10s stats realm Haproxy Statistics stats auth login :MDP frontend http bind :5080 option http-server-close option forwardfor redirect scheme https frontend https bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3 option http-server-close option forwardfor rspirep ^Location: http://(.*)$ Location: https://1 rspadd Strict-Transport-Security: max-age=31536000; includeSubDomains use_backend haproxy if { hdr_beg(Host) -i haproxy. } use_backend nas if { hdr_beg(Host) -i nas. } use_backend mail if { path_beg /mail } use_backend piwik if { path_beg /piwik } use_backend plex if { path_beg /manage } backend haproxy server haproxy localhost:8280 check backend nas server nas localhost:8080 check backend mail server mail localhost:8080 check backend piwik server piwik localhost:8080 check backend plex server manage localhost:32400 check Problèmes : 1. Depuis la mise en place de HAProxy, je ne peux plus accéder à MailStation. L'adresse nas.toto.fr/mail me renvois sur le fameux message "Désolé, la page que vous recherchez est introuvable". J'ai essayé plusieurs configuration mais rien y fait, pouvez-vous m'aider ? 2. Je ne peux plus accéder a Plex via l'icone Plex du DSM, cela me renvois vers httpS://MonIP:32400/Manage. Je peux simplement accéder via http://MonIP:32400/Manage. Faut-il modifier un fichier de conf dans plex ? Et au niveau de HAProxy j'ai un doute sur la configuration adéquate. 3. Idem pour les autres applications, comme piwik, PhpAdmin... 4. Les adresses nas.toto.fr/NomApplication ne fonctionnent pas pour toutes les applications comme filestation, videodstation et notestation mais pour les autres c'est OK...savez-vous pourquoi ? D'avance merci pour votre aide Modifié le 26 avril 2015 par nasmanu 0 Citer
gaetan.cambier Posté(e) le 26 avril 2015 Posté(e) le 26 avril 2015 problème mail : ton serveur mail tourne sur le port normalement ton backend renvoit vers le port 8080, change le en pour voir, ca devrait fonctionner problème plex : c'est pas haproxy en cause la vu que ca ne passe pas par lui dans dsm, n'aurait-tu pas activer la redirection https ? pour tes application, il n'y a aucun backend, donc, si c'est pas sur le chemin par defaut, ca ne fonctionne pas 0 Citer
nasmanu Posté(e) le 26 avril 2015 Auteur Posté(e) le 26 avril 2015 (modifié) merci Gaetan pour ta réponse. Alors pour le mail même en mettant je retrouve toujours le même message "Désolé, la page que vous recherchez est introuvable". J'avais mis 8080 puisque c'est le port personnalisé du NAS. oui j'ai activé la redirection http => https et je l'ai également forcée au niveau de HAProxy sur le frontend via l'option redirect scheme https ce n'est pas correct de faire ca ? pour les autres applications je n'ai pas tout recréé lors de mes tests mais il reste piwik avec backend + association mais ce ne fonctionne pa ah oui si tu parles des applications de base comme videostation, je n'ai normalement pas besoin de backend puisque cela est géré par le raccourci des applis dans "portail des application". Sans backend j'arrive bien a accéder à nas.toto.fr/surveillance, nas.toto.fr/audio merci encore Modifié le 26 avril 2015 par nasmanu 0 Citer
gaetan.cambier Posté(e) le 26 avril 2015 Posté(e) le 26 avril 2015 en fait, graphiquement une connection doit donner ceci : https http Internet --------- Haproxy ---------- nas donc, dans le dsm, si tu active le https, tu va redirigé la connection entre haproxy et le service du nas en https, de 1 c'est inutile car c'est en localhost, ca prend des reccource et augmente la latence (https est + lent à la connection). le mieux, c'est effectivement forcé dans haproxy le https (qui doit etre ta seule porte d'entrée depuis internet) et pour le reste, laissé http pour le mail, je n'utilise pas le paquet, mais quel est l'url de connection qui fonctionne en locale avec l'ip ? avec çà, je saurai mieux te repondre 0 Citer
nasmanu Posté(e) le 26 avril 2015 Auteur Posté(e) le 26 avril 2015 en fait non je n'avais pas redirigé http => https j'ai juste activé la connexion https (j'ai lu top vite) l'adresse locale du mail justement c'est juste http://IPduNAS/mail merci 0 Citer
gaetan.cambier Posté(e) le 26 avril 2015 Posté(e) le 26 avril 2015 bon, j'ai un peux regader, l'adresse du mail, c'est http://ip_du_nas/mail/ donc, essaye sur le port , et essaye de mettre le / de fin pour vérifier si c'est pas cela qui manque qd tu tape l'url 0 Citer
gaetan.cambier Posté(e) le 26 avril 2015 Posté(e) le 26 avril 2015 (modifié) au passage, RC4 est considéré comme non sûr depuis plusieurs mois (https://community.qualys.com/blogs/securitylabs/2013/03/19/rc4-in-tls-is-broken-now-what) tu devrait changer la ligne : bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3 par : bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+3DES+SHA:!RSA+AES:!CAMELLIA:!aECDH:!RC4:!DSS:!PSK:!SRP:!aNULL no-sslv3 Modifié le 26 avril 2015 par Gaetan Cambier 0 Citer
nasmanu Posté(e) le 26 avril 2015 Auteur Posté(e) le 26 avril 2015 (modifié) merci de prendre le temps alors par défaut il y a bien le slash de fin quand je clique sur l'icone de mailstation...donc ce ne vient pas de là par contre j'ai testé autre chose car tu dis que le mailstation doit etre sur le port , j'ai donc supprimé le forcage du frontend http => https et la ca fonctionne sur http://nas.toto.fr/mail/ Par contre, en https toujours pareil...j'ai essayé de mettre 443 au lieu de et en laissant le forcage de http=>https mais j'ai toujours le même soucis Ok merci pour le conseil de sécurité, j'ai changé Modifié le 26 avril 2015 par nasmanu 0 Citer
gaetan.cambier Posté(e) le 26 avril 2015 Posté(e) le 26 avril 2015 j'ai plus trop d'iidée, ca doit etre une connerie, mais faudra que quelqu'un d'autre se penche dessus :s 0 Citer
nasmanu Posté(e) le 26 avril 2015 Auteur Posté(e) le 26 avril 2015 (modifié) ok merci bien, j'espère que quelqu'un d'autre passera sinon j'ai refait d'autres tests et en conclusion je ne peux pas accéder en https a mail, piwik et phpMyAdmin et plex Si je désactive la redirection de HAProxy http=> htpps je n'ai plus aucun soucis mais les connexions ne se font pas de manière sécurisées. Donc si quelqu'un peut me dire quoi mettre comme config je suis preneur En attendant j'ai trouvé une parade en mettant sur le frontends htpp l'option "redirect scheme https unless { path_beg /mail /phpMyAdmin /piwik }" mais cela ne me convient pas ^^ @Gaetan : par contre pour les applications syno (note, filestation, etc) c'est bien un problème de slash a la fin de l'url...si je l'ajoute cela fonctionne. Sauf videostation mais je crois qu'il ne gère pas le https non ? Comment je peux faire afin de ne pas l'ajouter systématiquement ? https://nas.toto.fr/file=> KO https://nas.toto.fr/file/ => OK merci Modifié le 26 avril 2015 par nasmanu 0 Citer
nasmanu Posté(e) le 27 avril 2015 Auteur Posté(e) le 27 avril 2015 (modifié) - pour les applications DS ou il manque un slash de fin, j'ai trouvé une piste ici : http://forum.hardware.fr/hfr/reseauxpersosoho/Reseaux/synology-routeur-approche-sujet_5497_688.htm#t741555. Il y a une explication général de haproxy ici qui peut servir: http://forum.hardware.fr/hfr/reseauxpersosoho/Reseaux/synology-routeur-approche-sujet_5497_686.htm#t741030 mais je n'ai pas trouvé la solution précise car je ne sais pas si c'est réalisable avec une expression régulière rassemblant a cela : reqrep ^([^ :]*) /audio/(.*) 1 /2 Quelqu'un comprend cette option, j’avoue que j'ai un peu de mal avec...Merci - En ce qui concerne les applications mail, piwik, phpMyAdmin rien trouvé de plus pour le moment - Pour Plex on peut modifier le fichier /volume1/@appstore/Plex Media Server/dsm_config/plex/plex.cgi et écrire en dur le nom de domaine. Par contre même avec ca je suis bloqué car la connexion veut se faire en httpS et là c'est le même soucis que l'application mail, etc. Modifié le 27 avril 2015 par nasmanu 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.