Aller au contenu

Aide à la configuration du proxy inversé pour PhotoStation


MilesTEG1

Messages recommandés

Bonjour,

Voilà, je m'essaie au Proxy Inversé pour les différents services que j'utilise sur mon NAS. Et je n'arrive pas à paramétré comme il faut le tout pour PhotoStation.
Mon objectif est de pouvoir accéder à PhotoStation sans devoir taper l'adresse complète avec le port et le /photo/.

J'ai un nom de domaine chez OVH, que j'appellerais ndd.ovh.
J'ai créé des DynHost pour chaque service que je veux utiliser, avec un primaire qui est le DDNS paramétré dans mon DS214play.
Voilà ce que j'ai :

  • nas1.ndd.ovh      (le DDNS primaire, configuré avec l'identifiant OVH avec un * pour les noms de domaines mis à jour avec cet identifiant).
  • photos.nas1.ndd.ovh   (pour PhotoStation)
  • notes.nas1.ndd.ovh     (pour NoteStation)
  • files.nas1.ndd.ovh     (pour FileStation)
  • livebox.nas1.ndd.ovh     (pour la LiveBox)

Chacun de ces DynHost pointe bien sur la bonne IP de ma connexion internet. Je n'ai pas encore pu voir si un changement d'IP était bien répercuté sur tous ces DynHost. Mais ça devrait le faire :glasses:.

J'ai également un certificat Let's Encrypt qui a été créé avec tous ces DynHost en "Autre nom de l'objet" afin qu'ils soient tous avec le certificat sans causer d'alertes dans les navigateurs.

J'ai modifié les ports de connexion de DSM, et aux autres services (je vais utiliser des valeurs différentes des miennes dans ce topic) :

  • DSM HTTP = 9000
  • DSM HTTPS = 9001
  • NoteStation HTTPS = 9010
  • FileStation HTTPS = 9020

J'ai configuré comme suit PhotoStation :

597c61a6344ec_Capturedcran2017-07-2912_20_21.png.be795e73382a869d2e3f595cc67ad783.png
Dans la LiveBox, j'ai bien créé les redirections de ports pour tout ça, avec en prime la redirection du port 80 et du 443 vers le NAS.

Voilà ce que j'ai mis dans la partie Proxy Inversé du Panneau de configuration de DSM et qui permet d'utiliser avec succès FileStation/NoteStation/Livebox :

597c6101146e6_Capturedcran2017-07-2912_12_35.png.579a7d38ebb3ae876aa436ed28a34420.png

Ces trois accès fonctionnent bien.

Légende : en bleu ce qui fonctionne bien, en rouge ce qui ne fonctionne pas...

Pour accéder à DSM, j'utilise nas1.ndd.ovh:9001.
Si j'utilise cette adresse sans préciser le port (nas1.ndd.ovh) j'accède aussi à DSM et l'adresse dans la barre du navigateur change pour nas1.ndd.ovh:9001.

Maintenant, voilà ce que j'ai essayer de mettre pour photostation :

597c648b63adb_Capturedcran2017-07-2912_19_00.png.ceb5ee19ecd8fc5795a3ae7f5df289f5.png

 Mais quoi que j'essaye, ça ne veut pas fonctionner. Avec la configuration ci-dessus, j'ai cette erreur lorsque je tape l'adresse photos.nas1.ndd.ovh :

Citation

502 Bad Gateway


nginx


Si je veux quand même accéder à PhotoStation, je dois taper cette adresse : https://nas1.ndd.ovh:9051/photo/

Je voudrais accéder à PhotoStation en tapant l'adresse : https://photos.nas1.ndd.ovh/

 

Voilà voilà, je ne sais plus quoi faire. J'aurais donc besoin de votre aide :mrgreen:

Que dois-je faire pour que ça fonctionne comme je le veux ? Si c'est possible bien sur...

Merci d'avance

Miles

Lien vers le commentaire
Partager sur d’autres sites

Je confirme. En natif, le paquet photo station peut-être accéder qu'avec l'extension photo.

Vous pouvez même y accéder avec les autres NDD que vous avez et qui pointent vers le localhost. Par exemple : https:\notes........../photo/ vous donnera accès à photostation.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Vinky a dit :

Bonjour,

Personnellement, pour le faire, j'ai quand même l'obligation de rajouter : /photo/ à la fin.

Donc du coup, si tu as bien paramétrer ton reverse proxy, tu devras taper : https://photos.nas1.ndd.ovh/photo/

Après pour te passer du /photo/ je ne vois qu'une réécriture de l'url sous nginx pour y parvenir.

Justement, je ne sais pas s'il est bien paramétré le reverse proxy :mrgreen:Avec https://photos.nas1.ndd.ovh/photo/ j'abouti à une erreur :

502 Bad Gateway
nginx

 

il y a 37 minutes, Mic13710 a dit :

Je confirme. En natif, le paquet photo station peut-être accéder qu'avec l'extension photo.

Vous pouvez même y accéder avec les autres NDD que vous avez et qui pointent vers le localhost. Par exemple : https:\notes........../photo/ vous donnera accès à photostation.

J'ai essayé avec https://nas1.ndd.ovh/photo/  et j'arrive en effet sur PhotoStation sans entrer de port en particulier.

Avec https://livebox.nas1.ndd.ovh/photo/  j'ai une erreur Safari , qui dit que "Safari ne parvient pas à ouvrir la page" avec le favicon d'orange.
Avec https://files.nas1.ndd.ovh/photo/  j'ai une erreur avec le logo Synology qui dit que la page est introuvable.

Pour le https://notes.nas1.ndd.ovh/photo/ comme j'ai créé le DynHost ce matin, faut attendre 24h pour qu'il soit actif, donc je sais pas...

 

Du coup, il y a quelque chose que j'ai pas fait correctement dans le Proxy Inversé...

Et sinon, comment faire pour avoir PhotoStation via https://photos.nas1.ndd.ovh/ uniquement ? Faut bricoler quel fichier de configuration si c'est faisable ? Ça saute au reboot/maj de DSM ?

Lien vers le commentaire
Partager sur d’autres sites

Photostation fonctionne avec les ports 80 et 443. Les ports que vous définissez dans les réglages (9050 et 9051) sont seulement là pour donner accès au partage des dossiers ou des photos sur internet et les réseaux sociaux. Pas pour accéder à l'application.

Il y a 2 heures, MilesTEG1 a dit :

Avec https://livebox.nas1.ndd.ovh/photo/  j'ai une erreur Safari , qui dit que "Safari ne parvient pas à ouvrir la page" avec le favicon d'orange.

Normal puisque ce lien ne renvoi pas vers le locahost (le NAS). Relisez ce que j'ai écrit.

Il y a 2 heures, MilesTEG1 a dit :

Avec https://files.nas1.ndd.ovh/photo/  j'ai une erreur avec le logo Synology qui dit que la page est introuvable.

Parce que sans doute vous renvoyez le http vers le https dans photostation. Du coup, ça se mord la queue.

Il y a des corrections à faire dans votre reverse proxy,. Si vous utilisez un port d'entrée en https, vous pouvez le renvoyer vers le port http correspondant de l'application et éviter ainsi de faire une double sécurisation sans aucun intérêt pour la sécurité et le fonctionnement. Par exemple pour note station, vous pouvez utiliser pour la destination http;//localhost:(le port http de note station défini dans le portail des applications).

Maintenant, si vous voulez effectivement passer par un lien direct, pas d'autre moyen que de mettre les mains dans le cambouis. Allez voir du côté des tutorials, vous y trouverez un tuto restauré de CoolRaoul sur NGINX.

Modifié par Mic13710
Correction orthographique
Lien vers le commentaire
Partager sur d’autres sites

il y a 39 minutes, Mic13710 a dit :

Photostation fonctionne avec les ports 80 et 443. Les ports que vous définissez dans les réglages (9050 et 9051) sont seulement là pour donner accès au partage des dossiers ou des photos sur internet et les réseaux sociaux. Pas pour accéder à l'application.

Normal puisque ce lien ne renvoi pas vers le locahost (le NAS). Relisez ce que j'ai écrit.

Ha mince, j'avais mal lu en effet :mrgreen:

 

 

il y a 39 minutes, Mic13710 a dit :

Parce que sans doute vous renvoyez le http vers le https dans photostation. Du coup, ça se mort la queue.

Il y a des corrections à faire dans votre reverse proxy,. Si vous utilisez un port d'entrée en https, vous pouvez le renvoyer vers le port http correspondant de l'application et éviter ainsi de faire une double sécurisation sans aucun intérêt pour la sécurité et le fonctionnement. Par exemple pour note station, vous pouvez utiliser pour la destination http;//localhost:(le port http de note station défini dans le portail des applications).

Maintenant, si vous voulez effectivement passer par un lien direct, pas d'autre moyen que de mettre les mains dans le cambouis. Allez voir du côté des tutorials, vous y trouverez un tuto restauré de CoolRaoul sur NGINX.

J'ai supprimé les infos rentré dans PhotoStation vu que je ne compte pas partager les photos sur FB et compagnie.
J'ai désactivé aussi la redirection HTTP -> HTTPS dans DSM et aussi dans PhotoStation. Et effectivement d'une part ça semble aller plus vite au chargement et surtout le lien  https://photos.nas1.ndd.ovh/photo/ fonctionne hourra :D 

 

Je suis allé voir le toto de CoolRaoul. Ça me semble un peu complexe pour moi...
J'ai trouvé un autre tuto sur HAProxy, et ça me semble plus simple pour moi à mettre en place. Après lecture totale, c'est pas si simple :eek: Et pas sur que je puisse faire ce que je veux avec...

C'est compliqué ces trucs :rolleyes: \o/

En tout cas merci de votre aide :) 

Modifié par MilesTEG1
Lien vers le commentaire
Partager sur d’autres sites

à l’instant, Fenrir a dit :

Si ton NAS supporte Docker, tu as une autre manière de faire, sinon il ne reste que la conf à la main dans nginx (le paquet haproxy ne fonctionne plus depuis DSM6.x il me semble)

Arf, non. Je n'ai qu'un DS214play... donc pas de Docker pour moi :sad:

Ok pour HAproxy non fonctionnel...
 

Faut que je relise le tuto sur nginx, mais c'est pas gagné :rolleyes: Je crois que mon cerveau a atteint sa capacité maximale à comprendre cet aspect du réseau :mrgreen:

 

Sinon, le files.nas1.ndd.ovh fonctionne bien depuis un navigateur, mais ça ne veut pas fonctionner avec l'application DSFiles sur mon smartphone (iOS).

Il faut que je spécifie le port de FileStation comme cela :

IMG_1432.png.135a2efd9ef15c5c9b803e2dcc586965.png

Une idée du pourquoi ça ne veut pas prendre seulement le files.nas1.ndd.ovh ?

(j'ai spécifié un port pour le HTTP dans le portail des applications).

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, MilesTEG1 a dit :

Il faut que je spécifie le port ...

Parce que les dev de Syno de certaines applis partent du principe que si tu mets un nom de domaine c'est que tu utilises QuickConnect, donc selon ta conf réseau, parfois ça marche sans les ports, parfois non.

Néanmoins c'est le port 443 que tu devrais préciser ...

Tu devrais t'inspirer des exemples présents en bas du tuto sécurité (dans ma signature), ta conf reverse proxy n'est pas bonne :

Il y a 5 heures, MilesTEG1 a dit :

597c6101146e6_Capturedcran2017-07-2912_12_35.png.579a7d38ebb3ae876aa436ed28a34420.png

  • NotesStation : aucune idée, jamais testé
  • Livebox : ok mais vraiment TRÈS dangereux => passe par le VPN (il y a aussi un tuto)
  • FileStation : https://files.nas1.ndd.ovh => http://localhost:9020 (pas https, c'est inutile de chiffrer entre le nas et le nas, mais il faut que le port 9020 soit en http)
  • DSM : https://nas1.ndd.ovh => http://localhost:5000
Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, Fenrir a dit :

Parce que les dev de Syno de certaines applis partent du principe que si tu mets un nom de domaine c'est que tu utilises QuickConnect, donc selon ta conf réseau, parfois ça marche sans les ports, parfois non.

Néanmoins c'est le port 443 que tu devrais préciser ...

C'est à dire ? (pour ce qui est surligneur en gras/rouge)

Haaa je viens de comprendre :mrgreen:
En mettant comme port 443 comme ce qui suit, ça marche !!!! (vive l'application développée avec les pieds :rolleyes:)

 IMG_1432.png.cfadffb69a025672e66bb60666b4ceae.png

il y a 10 minutes, Fenrir a dit :

Tu devrais t'inspirer des exemples présents en bas du tuto sécurité (dans ma signature), ta conf reverse proxy n'est pas bonne :

  • NotesStation : aucune idée, jamais testé
  • Livebox : ok mais vraiment TRÈS dangereux => passe par le VPN (il y a aussi un tuto)
  • FileStation : https://files.nas1.ndd.ovh => http://localhost:9020 (pas https, c'est inutile de chiffrer entre le nas et le nas, mais il faut que le port 9020 soit en http)
  • DSM : https://nas1.ndd.ovh => http://localhost:5000

Je m'étais déjà inspiré de ton tuto sécurité :smile: J'avais du y poster un ou deux messages.  Tout comme j'ai aussi mis en place une connexion VPN L2TP fonctionnelle, j'ai aussi laissé un message sur ton tuto pour parler des caractères accentués qui posent soucis dans les mots de passe...

Pourquoi c'est très dangereux la redirection Livebox ?

Pour FileStation, j'avais pas refait la capture mais j'ai changé/ maintenant j'ai ça :

597cb64ba9460_Capturedcran2017-07-2918_17_29.png.b93799a02d6941fe7802a3512eb89d9a.png


Du coup si je suis ce que tu as dit dans ton tuto, et ce que je commence à comprendre de ce que tu as dit ici, je peux laisser fermé les ports HTTPS que j'ai ouvert dans la box pour les applications, et ça fonctionnera encore bien ;)
Je n'ai pas ouvert les ports HTTP sauf le 80.

En tout cas merci pour votre aide :ubergeek:

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, MilesTEG1 a dit :

Pourquoi c'est très dangereux la redirection Livebox ?

Si tu laisses ta box administrable depuis Internet, il ne va pas falloir attendre longtemps avant que quelqu'un la reconfigure ...

il y a 10 minutes, MilesTEG1 a dit :

Du coup si je suis ce que tu as dit dans ton tuto, et ce que je commence à comprendre de ce que tu as dit ici, je peux laisser fermé les ports HTTPS que j'ai ouvert dans la box pour les applications, et ça fonctionnera encore bien ;)
Je n'ai pas ouvert les ports HTTP sauf le 80.

Seul le 443 est nécessaire avec ta conf

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, Fenrir a dit :

Si tu laisses ta box administrable depuis Internet, il ne va pas falloir attendre longtemps avant que quelqu'un la reconfigure ...

Seul le 443 est nécessaire avec ta conf

Ha oui, vu comme ça... Je vais probablement suivre ton conseil et enlever cette redirection DynHost, et aussi désactiver l'accès à distance...

(bon par contre, j'ai besoin de l'accès à distance sur la box de ma grand-mère... Bon pour sa box j'ai mis un bon gros mot de passe)


Et Ok pour le 443 nécessaire. C'est dommage de devoir le spécifier...

 

Je peux donc désactiver sans soucis les redirections de ports vers les ports des différentes applications, n'est-ce pas ?

Lien vers le commentaire
Partager sur d’autres sites

Si ta conf DNS est bonne et que tu as complétement coupé QuickConnect (que ton nom de domaine est inconnu de synology), dans la plupart des cas il n'est pas nécessaire de spécifier les ports (en tout cas avec dsfile, dsaudio, dsvideo, dsphoto et dsget, je n'utilise pas les autres applis), mais en mettant le numéro de port, au moins tu es sûr que ça fonctionne.

Pour ton autre question, j'ai déjà répondu

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Fenrir a dit :

Si ta conf DNS est bonne et que tu as complétement coupé QuickConnect (que ton nom de domaine est inconnu de synology), dans la plupart des cas il n'est pas nécessaire de spécifier les ports (en tout cas avec dsfile, dsaudio, dsvideo, dsphoto et dsget, je n'utilise pas les autres applis), mais en mettant le numéro de port, au moins tu es sûr que ça fonctionne.

Pour ton autre question, j'ai déjà répondu

J'ai utilisé pendant un temps Quickconnect, mais je ne l'utilise plus depuis plus d'un an maintenant et il est depuis désactivé.

 

Il y a 1 heure, Einsteinium a dit :

Bon j’ai pas fait la lecture de tout le post, mais via un htaccess, on peut faire en sorte de faire correspondre pour que photo.ndd.com renvoie vers photo.ndd.com/photo, tout en gardant l’adresse photo.ndd.com ;-)

Heu, oui mais comment ? Et où mettre le fichier htaccess ??

Lien vers le commentaire
Partager sur d’autres sites

Pour le .htaccess c'est uniquement si tu utilises apache comme serveur web (par défaut c'est nginx).

Il faut activer webstation et placer le .htaccess à la racine du dossier www, mais dans ce cas ce n'est plus du reverse proxy, juste de la redirection

=>https://ce que tu veux/ => redirection auto vers https://ce que tu veux/photo

nb : tu peux aussi le faire avec php 1 ligne (et tu auras plus de flexibilité) : header("Location: https://".$_SERVER['HTTP_HOST']."/photo",TRUE,307);

Un exemple plus complet en php :

<?php
// 307 Temporary Redirect
$http_host=$_SERVER['HTTP_HOST'];
switch ($http_host) {
	case "dsphoto.domaine.fr":
		header("Location: https://$http_host/photo",TRUE,307);
		break;
	case "dsvideo.domaine.fr":
		header("Location: https://$http_host",TRUE,307);
		break;
	case "machin.domaine.fr":
		header("Location: https://$http_host:9999",TRUE,307);
		break;
	default:
		header("Location: https://$http_host:5001",TRUE,307);
	}
exit;
?>

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, Einsteinium a dit :

Ah sinon je viens de voir qu’il y a aussi les virtual host dans web station, qui permettent d’indiquer un sous dossier ;-)

Sauf que c'est vraiment un dossier qu'il demande, pas un truc qu'on peut taper => dans tous les cas, ça ne changerait pas l'url en /photo

J'avais déjà regardé, dans les techniques abordables il n'y a pas 36 manières de s'en sortir :

  • vrai reverse proxy (nginx, haproxy, ...) => c'est la seule manière de changer l'url pour ne pas avoir /photo
  • redirection avec webstation avec apache + .htaccess avec rewrite ou redirect comme tu le proposes (mais je suis allergiques aux .htaccess)
  • redirection avec webstation + php (peu importe le serveur web)

Chez moi je fais ça en php (avec un script du genre de celui que j'ai posté).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, Fenrir a dit :

Sauf que c'est vraiment un dossier qu'il demande, pas un truc qu'on peut taper => dans tous les cas, ça ne changerait pas l'url en /photo

J'avais déjà regardé, dans les techniques abordables il n'y a pas 36 manières de s'en sortir :

  • vrai reverse proxy (nginx, haproxy, ...) => c'est la seule manière de changer l'url pour ne pas avoir /photo
  • redirection avec webstation avec apache + .htaccess avec rewrite ou redirect comme tu le proposes (mais je suis allergiques aux .htaccess)
  • redirection avec webstation + php (peu importe le serveur web)

Chez moi je fais ça en php (avec un script du genre de celui que j'ai posté).

Ok merci beaucoup pour ces réponses.
L'idéal pour moi serait donc d'installer webstation et de passer pas un script php comme le tiens pour faire ce que je veux.

Dans l'exemple de ton script, est-il possible de faire en sorte que si aucune entrée n'est validée, ça retourne une erreur ?

Genre :
nas1.ndd.ovh -> DSM
photos.nas1.ndd.ovh -> PhotoStation
notes.nas1.ndd.ovh -> NoteStation
files.nas1.ndd.ovh -> FileStation
toutes autres entrées -> rien/erreur

?

Il y a 10 heures, Einsteinium a dit :

Ah sinon je viens de voir qu’il y a aussi les virtual host dans web station, qui permettent d’indiquer un sous dossier ;-)

Et tu peux aller sur PhotoStation ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.