Aller au contenu

problème d'accès à distance via un nom de domaine


rvga

Messages recommandés

Bravo pour la mise en place du certificat !

Pour la page DSM non accessible , je pense que c'est a cause de web station.

Les requêtes http://www.twiners.fr sont a destination de webstation , virtualhost.

En revanche pour les requêtes de l'extérieur (moi par exemple) https://twiners.fr c'est la page DSM , j'ai essayé en changeant de navigateur pour être sur.

 

Modifié par El_Murphy
Lien vers le commentaire
Partager sur d’autres sites

D'accord... si je comprends bien chaque fois que j'exploite un nouveau paquet (avec un port pas encore utilisé) je devrai systématiquement créer une règle de redirection depuis la freebox ?

Mais pourquoi le Drive fonctionne alors ? je l'ai pas encore redirigé dans la freebox !

Lien vers le commentaire
Partager sur d’autres sites

Drive est particulier , pour les téléphones et l'accessibilité dans le navigateur ça passe par le port 5001.

Mais si vous installez l'application Synology Drive pour PC/MAC c'est le port 6690 qui est utilisé.

On est quelques uns a s'être fait avoir ^^.

Edit : Et oui , si vous installer un nouveau service qui utilise un port spécifique , il faudra le transférer de la freebox au nas

et faire une règle dans le par feu du nas.

Modifié par El_Murphy
Lien vers le commentaire
Partager sur d’autres sites

Ok je comprends, reste à le garder en tête ;) Je mettrai en place ces nouvelles règles un fois de retour chez moi pour accéder à mafreebox.

En revanche, pour...

il y a une heure, El_Murphy a dit :

Pour la page DSM non accessible , je pense que c'est a cause de web station.

Les requêtes http://www.twiners.fr sont a destination de webstation , virtualhost.

En revanche pour les requêtes de l'extérieur (moi par exemple) https://twiners.fr c'est la page DSM , j'ai essayé en changeant de navigateur pour être sur.

C'est moins clair quant aux modifications que je devrai essayer de faire....

Lien vers le commentaire
Partager sur d’autres sites

Le www. pointe sur le "site" que vous avez activer en installant le paquet web station.

Si vous voulez que www. pointe sur la page DSM vous pouvez utiliser un simple index.php ou alors vous servir du proxy inversé dans le portail des applications.

Si vous voulez que www. pointe sur votre site (blog;wordpress...etc) il faut faire un hôte virtuel dans Webstation qui pointe dans votre dossier web/www.

Lien vers le commentaire
Partager sur d’autres sites

Je pensais avoir avoir tout bien fait pour ma connexion redmine, mais je n'arrive à m'y connecter :(

J'ai déclaré la redirection freebox comme prévu, je l'ai redémarrée (le PC aussi du reste)

Ports-freebox-1.png.a69adfea070efe999175634be62521cb.png

Redmine-connexion-failed.png.96a6096313506f472965eff359ab82e3.png

En lisant le code erreur renvoyé, je comprends qu'on parle du certificat. Très naïvement, je l'enregistre à nouveau en me disant qu'il tiendra peut être compte des nouveaux ports ouverts... Manqué :(

En cherchant sur la nature du code erreur renvoyé, j'obtiens ces pages :

Google dans son 5ème point, fait bien allusion au parfeu, je relis, je vois pas.

Mozilla donne la piste suivante

Citation

Dans Apache, vérifiez que l'instruction Listen <port> correspond bien au numéro de port qui figure dans l'instruction VirtualHost du site Web en cours de sécurisation et que les déclarations de configuration SSL (SSLEngine On, SSLCertificateFile <nomfichier>, etc) figurent bien dans l'instruction VirtualHost du site Web ou dans le fichier de configuration SSL du serveur.

Il faut visiblement aller reparamètrer Apache, peut être Docker... ?

Clairement, ça me dépasse...

 

Modifié par rvga
Lien vers le commentaire
Partager sur d’autres sites

Bon , je viens de tester , vous pouvez contourner le problème par le proxy inversé dans le portail des applications.

Vous faites 2 règles comme ça : 

Une pour le HTTP

Capture1.JPG.1280aae7271b596c75aa8cfdb3c4725a.JPG

Une pour le HTTPS

Capture2.JPG.238b314e67876e6cb9473fcf5bbfab01.JPG

 

Une fois les 2 règles faites , vous aller dans Sécurité => Certificat => Configurer

Sur la ligne www.twiners.fr vous associer le certificat twiners.fr.

Vous validez .

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour El_Murphy

Il y a 19 heures, El_Murphy a dit :

Pour redmine , je viens d'essayer avec docker chez moi , j'ai le même problème pour y acceder en https , en http aucun soucis.

Comment réussissez-vous à vous connecter en http ? Moi il me redirige automatiquement en https ? Ce qui parait plutôt normal, je l'ai configuré comme ça.

 

Bon je viens de me faire bloquer :(

On a droit à 5 certificats Let's Encrypt (LE) par semaine et à force de tester dans tous les sens , j'ai consommé sans le savoir mes 5 certificats. 'LE' propose bien un environnement de test (staging) mais je ne sais pas comment le paramétrer. Je suis donc bloqué tout le WE (renouvellement des certificats à la semaine si j'ai bien compris) avec retour à mon IP publique pour me connecter - puisque j'ai supprimé mon certificat twiners pour repartir de zéro.

Avant de le supprimer, j'avais entre-temps créé les 2 règles au niveau du proxy inversé, j'avais rajouté twiners.fr au même niveau que www.twiners.fr ('autre nom de l'objet' dans le certificat).

Ca n'avait pas changé grand chose dans Chrome... je n'accédais pas à Redmine. MAIS, dans Mozilla, j'ai eu accès à Redmine en tapant directement "twiners.fr" ! Ca devient doublement tordu ! Non seulement on n'aurait pas le même résultat d'un navigateur à l'autre (très surprenant quadn même - du coup ça pourrait répondre à ma 1ère question en début de post "Comment réussissez-vous à vous connecter en http ?"... Mozilla ?) mais en plus j'ai eu accès à Redmine via 'twiners.fr', c'est vraiment pas l'objectif.

En tout cas, il ne me reste plus qu'à attendre la semaine prochaine pour accéder à LE à nouveau et reprendre mes tests. A tout hasard, sauriez-vous comment paramétrer leur environnement staging ? (https://letsencrypt.org/docs/rate-limits/ça m'évitera de me refaire bloquer !

 

Lien vers le commentaire
Partager sur d’autres sites

En faites le problème ne vient pas de votre certificat , si j'ai bien compris.

Le NAS est sous Nginx , du coup votre Docker (apache) ne voit pas le certificat LE.

Donc soit vous "injectez" le certificat dans le container (mais alors là ça dépasse clairement mon niveau docker)

Soit on fait passer les requêtes par le proxy inversé car lui il gère le certificat LE.

En gros le proxy inversé il est là pour faire la circulation a l'entré du NAS.

La première règle s'occupe des requêtes "http://www.twiners.fr" du port 80 donc , et les fait atterrir sur le port (30002) du NAS toujours en http.

La deuxième règle s'occupe des requêtes "https://www.twiners.fr" du port 443 , et les fait atterrir sur le port (30002) du NAS mais en http (car apache ne voit pas le certificat)

De cette façons le certificat est pris en comptee.

Vous n'avez pas besoin de changer votre certificat 36 fois  , 1 seul certificat avec twiners.fr et www.twiners.fr devrait suffire.

Pour vos tests , je vous conseil de désactiver le "HSTS" si vous l'avez activer.Il force les navigateurs a utiliser le protocol https , du coup autant le virer le temps de faire des essais.

 

Pour la configuration de votre Redmine (Ports) il faut regarder dans docker = > container => séléctionner redmine et aller sur détails , vous aurez ceci :

Capture3.thumb.JPG.2fd32edf14b9bce2db960883228d08cf.JPG

Moi j'ai laisser le port de base , a savoir le port 32769 du NAS et 3000 pour le container.

Donc j'ai le choix , soit je transfère le port de la freebox au nas (32769) et j'ouvre le parfeu du NAS pour ce port

Soit je dis au proxy inversé de chopper toutes les requêtes www.twiners.fr et de les balancer dessus.

Je préfère la deuxième solution , déja car il n'y a pas besoin de marquer ":32769" a la fin de l'url (ex: www.twiners.fr:32769)

Et en plus car on peut gérer le certificat a associer a cette redirection.

 

Modifié par El_Murphy
Lien vers le commentaire
Partager sur d’autres sites

Proxy Vs certificat-conteneur...  n'étant pas compétent en la matière, je n'ai pas de préférence tant que la sécurité est assurée. Je continuerai de suivre vos recommandations.

Pour pas m'embrouiller plus, je ne fais plus de tests tant que j'aurai pas remis en place le certificat associé à twiners.

Pour info, je n'avais pas validé le HSTS mais celle du http/2 - comme montré dans votre screen.

Est-ce parce que j'ai effacé les 2 règles du proxy que je ne vois pas les mêmes informations sur mon Docker ?

docker-config.png.50df7dde1f5076687852923b0508aa62.png

En résumé,

  • je remets le certificat dès que je peux - pas avant lundi à priori. On est bien d'accord qu'il faudra que j'inscrive dans le champ 'Autre nom de l'objet' : www.twiners.fr ET twiners.fr ?
Le 19/01/2018 à 11:52, El_Murphy a dit :

Sur la ligne www.twiners.fr vous associer le certificat twiners.fr.

connectivite-securite-certificat-2.png.f33f52691175da83ece904398897e442.png

  • je remets en place les 2 règles du proxy inversé comme décrite plus haut
  • je teste et vous dit si ça fonctionne... Je mettrai à jour les screens de mes paramétrages pour être certain qu'on parle de la mm chose.

J'ai ouvert une grosse ardoise chez vous !

Encore merci et bon WE ;)

 

Lien vers le commentaire
Partager sur d’autres sites

Pour le certificat il n'y a pas besoin de rajouter twiners.fr dans la ligne du bas car il est déjà déclaré dans la case Nom de Domaine.

Comme ceci :

cert.JPG.49697ba0e56d8474b880689341d365b1.JPG

 

Ensuite en ce qui concerne le HSTS c'était uniquement pour les redirections de www.twiners.fr , mais sachez que vous pourriez l'avoir activé pour twiners.fr dans :

Panneau de Configuration => Réseau => Paramètres de DSM => Domaine (tout en bas)

HSTS.JPG.da841be82ae18c463aacf9cae3f54db0.JPG

 

Pour voir la page d'état de votre conteneur redmine il faut aller dans Docker ensuite a gauche dans Conteneur .

Vous mettez redmine1 en surbrillance et vous cliquez sur Détails.

Docker.thumb.JPG.7f34c49371ae799509a921a47c119aca.JPG

Vous verrez cette page apparaître :

Docker2.thumb.JPG.66f1100cafde962dadf794aa935616c2.JPG

 

Pour l'association d'une redirection du proxy inversé et d'un certificat il faut aller comme je l'ai dis , ici :

Le 19/01/2018 à 11:52, El_Murphy a dit :

Une fois les 2 règles faites , vous aller dans Sécurité => Certificat => Configurer

Sur la ligne www.twiners.fr vous associer le certificat twiners.fr.

Donc : Panneau de Configuration => Sécurité =>Certificat = Configurer

cert-config.jpg.6ff4dc788376a39ace486a20147cbe7c.jpg

Pour le Service www.twiners.fr il faudra mettre votre certificat , certificat qui s'appel twiners.fr.

Alors forcement dans ma capture j'ai effacé le nom de mon certificat , mais chez vous dans la colonne Certificat vous pourrez y mettre le votre.

 

Edit: Bon weekend a vous aussi :D

 

 

 

Modifié par El_Murphy
Lien vers le commentaire
Partager sur d’autres sites

  • 2 ans après...

Bonjour @Kevin Ledig

il y a 10 minutes, Kevin Ledig a dit :

aprés avoir fait tout le tour de ce tuto

De quel tuto s'agit-il? Une petite présentation ici serait utile pour te dépanner.

il y a 13 minutes, Kevin Ledig a dit :

je suis obligé d ajouter :5001 pour acceder a mon Nas

Ce n'est pas anormal d'arriver sur le DSM avec ndd:5001. Après, cela dépend de ce que tu veux faire. 

En général on préfère l'utilisation d'un proxy inverse pour arriver au DSM sans utilisation de port, avec nas.ndd  par exemple . Mais cela n'a rien d'obligatoire.

Je te conseille de lire le tuto sécuriser les accès à son NAS en priorité 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.