[Tuto] Reverse Proxy

[unPixel]

Oui c'était une faute de frappe, autant pour moi. Je l'ai corrigé 😉

Merci

 

Citation

Quand tu es connecté en VPN (de l'extérieur), tu accèdes à DSM via

Oui et oui j'ai laissé comme tel de base au niveau configuration donc tout passe par ce dernier quand il est en fonction.

Sauf que tu n'es pas obligé de tout envoyer le trafic par ton serveur VPN si tu le souhaites comme ça. Voir tuto de Fenrir sur le serveur VPN 😉

Pour ma part, je m'embête pas car je n'utilise pas souvent mon serveur VPN quand je suis en extérieur. J'ai pas en permanence le besoin d'aller voir ma vidéo surveillance, ou bien mon routeur ou même DSM.

[D34 Angel]

Merci Zeus pour ta réponse

Il y a 2 heures, Zeus a dit :

Sauf que tu n'es pas obligé de tout envoyer le trafic par ton serveur VPN si tu le souhaites comme ça. Voir tuto de Fenrir sur le serveur VPN 😉

J'ai dû le lire 10 fois, le tuto de Fenrir.
Mais j'ai du mal à capter l'histoire des accès au nas (adresse en 10.8.x.x ou 10.2.x.x)).

Ceci dit, maintenant que j'ai capté l'usage du reverse proxi (je trouve ça génial, d'ailleurs), je n'aurai (comme toi) que peu de besoin d'accéder à DSM et, donc, l'usage du VPN sera limité.

[unPixel]

Tout passe par mon domaine donc je ne m'occupe pas de l'IP.

Si tu as des questions, hésite pas à les poster sur le tuto en question.

Limité mais important l'accès à DSM par VPN. Après je dis ça mais je n'appliquais pas cette règle quand j'avais de l'ADSL. Le VPN limitait encore plus ma connexion qui n'était pas déjà au mieux...

[JB76]

Bon, ça y est, j'ai trouvé l'erreur, ma redirection vers HTTPS fonctionne maintenant! C'est parfaitement idiot et j'ai presque honte de vous avoir fait perdre du temps avec ça, mais ça vient du programme que j'ai utilisé pour généré le fichier .htaccess qui m'a fait sans me le dire par défaut un fichier rtf. Du coup, même en changeant le nom, ça ne fonctionnait pas. Mon problème est donc totalement réglé et tout fonctionne parfaitement maintenant, merci encore à tous ceux qui ont pris le temps de me lire et de me répondre!

[unPixel]

J'ai pourtant souvent parlé de fichier .htaccess et d'en vérifier son nom 🙄

L'important est que tu as résolu ton soucis !

[EniD]

Bonjour j'ai deux questions ;

1) je me demandais si il était possible d'accéder a une ressource interne (une raspberry) via le reverse proxy du syno mes essais sont infructueux.
2) pour une raison inconnue sur mes applications installées si je ne mets pas https pour la destination ; La page n’est pas redirigée correctement or les ports sont bien ceux de l'http et non https

Merci d'avance pour votre aide 🙂

Modifié le 24 juillet 2019 par EniD

[unPixel]

Oui tout à fait. J'ai un raspberry qui me sert de Pi-Hole et j'ai une règle reverse proxy dessus. Il suffit d'indiquer l'ip du serveur et le port du service. Tu peux d'ailleurs le faire avec autant de services que nécessaires qui se trouvent sur une même machine distante ou dans ton réseau local.

[EniD]

il y a 15 minutes, Zeus a dit :

Oui tout à fait. J'ai un raspberry qui me sert de Pi-Hole et j'ai une règle reverse proxy dessus. Il suffit d'indiquer l'ip du serveur et le port du service. Tu peux d'ailleurs le faire avec autant de services que nécessaires qui se trouvent sur une même machine distante ou dans ton réseau local.

Ne fonctionne pas chez moi pourrais tu me montrer un exemple ?

[unPixel]

Voici un exemple :

[Mic13710]

Voir aussi mon retour en page 2 du tuto sur le serveur DNS où je passe par le reverse proxy pour joindre mes 2 Rasp.

[EniD]

il y a 40 minutes, Zeus a dit :

Voici un exemple :

Merci pour la réponse et la réactivité proche des dieux.
J'ai compris pourquoi ça ne fonctionne pas je dois pointer sur http://192.168.7.254:9159/bZsi45dsH/ui/ or je ne peux pas à priori ?
Mais ça fonctionne pour deluge web que je viens d'installer pour le test via http://192.168.7.254:8112.
Aurais tu une astuce pour mon besoin initial ?

[.Shad.]

Tu héberges Deluge sur ton raspberry également ?
Le proxy inversé se configure sans préciser aucun chemin, protocole (http ou https), IP ou nom de domaine, port. Ça et uniquement ça. Par contre pour accéder au panneau de configuration de Pi-hole il faut rajouter /admin après le port.

Doublon avec le post de @Mic13710, si tu utilises une résolution DNS locale, tu dois avoir une entrée du type

pi-hole.ndd.tld                             CNAME                             nas.ndd.tld

Vu que c'est ton proxy inversé qui sait vers quel port rediriger sur le raspberry, c'est par le NAS que tu dois passer, et pas directement vers le raspberry.
 

Modifié le 24 juillet 2019 par shadowking

[EniD]

il y a 15 minutes, shadowking a dit :

Tu héberges Deluge sur ton raspberry également ?
Le proxy inversé se configure sans préciser aucun chemin, protocole (http ou https), IP ou nom de domaine, port. Ça et uniquement ça. Par contre pour accéder au panneau de configuration de Pi-hole il faut rajouter /admin après le port.

Doublon avec le post de @Mic13710, si tu utilises une résolution DNS locale, tu dois avoir une entrée du type

pi-hole.ndd.tld                             CNAME                             nas.ndd.tld

Vu que c'est ton proxy inversé qui sait vers quel port rediriger sur le raspberry, c'est par le NAS que tu dois passer, et pas directement vers le raspberry.
 

Je retrouve pas le dit post à part qu'apparemment c'est en lien avec son propre tutoriel ?
J'accède bien à deluge web que j'ai installé sur la rpi via le reverse proxy.
J'ai bien rajouté un cname dans ma zone dns rpi.ndd.tld vers mon nas.
Cependant Impossible d'y ajouter comme ton exemple l'explique un paramètre en plus pour ma part ; "bZsi45dsH/ui/" quand je l'ajoute manuellement sur la page en erreur ça ne donne pas de résultat.

 

[.Shad.]

Non tu ne dois pas l'ajouter dans la règle du reverse proxy, c'est quand toi tu y accèdes que tu taperas https://pi-hole.ndd.tld/admin

Tu as changé le port de Pi-hole j'imagine ? de base c'est le port http (80), là tu as choisi 9159.
Et tu accèdes bien à ton instance de Pi-hole quand tu y accèdes directement via l'adresse IP et le port ?

Je viens de voir que tu avais une 2ème question, concernant la non-redirection vers le port https, c'est normal car il faut cocher l'option "Force HSTS" pour ça, mais d'après Fenrir sur le tuto de la sécurisation du NAS, il faut éviter car ça a une fâcheuse tendance à rester dans le cache de ton navigateur même si tu décides un jour de ne plus avoir recours à cette fonctionnalité.

Modifié le 24 juillet 2019 par shadowking

[Mic13710]

il y a 31 minutes, EniD a dit :

Je retrouve pas le dit post à part qu'apparemment c'est en lien avec son propre tutoriel ?

C'est effectivement mon tuto dans le tuto de Fenrir. Il y fait référence dans son préambule.

[pedromatk]

Bonsoir à vous,

Bientôt maintenant 5 heures que je galère...

II. Configuration du nom de domaine chez le registrar --> OK 

III. Configuration du routeur --> OK 

IV. Configuration du pare-feu du NAS --> OK 

V. Configuration du portail des applications de DSM --> Blocage : 

Lorsque j'essaye d'acceder à l'URL : https://home.x.ovh ou https://films.x.ovh

Je suis toujours rediriger vers le domaine (càd ma page de connexion au NAS)

Je n'arrive pas à comprend d'ou viens le soucis...

Pouvez-vous m'aider s'il vous plait ? 

Modifié le 3 août 2019 par Stohope

[pluton212+]

Salut,
je n'ai pas tout lu mais les redirections dans le routeur c'est 443-443 et 80-80

[pedromatk]

Si je met 443-443 et 80-80 

J'ai une page : 

je n'ai pas accès a la page de connexion du NAS 

[.Shad.]

Tu as une IP fixe ou une IP dynamique ?

[pedromatk]

Bonjour,

J'ai une ip dynamique.. :(

J'arrive toujours sur la page de connexion du NAS j'ai l'impression qu'il n'arrive pas à rediriger avec le reverse proxy.. 

[pluton212+]

Je n'ai pas tout lu mais dans le tuto, au début, il est précisé qu'il s'adresse aux

possesseurs d'une ip fixe.

Pour un domaine avec une ip dynamique il y a p-e une solution, avez-vous lu tout le post ?

[.Shad.]

Chez OVH il suffit de créer une entrée dans l'onglet Dynhost avec l'adresse IP WAN actuelle chez toi, et ton nom de domaine. OVH a un robot qui se charge de vérifier si ton IP change et modifie l'enregistrement.

Essaie ainsi, heureusement que le proxy inversé n'est pas réserver aux détenteurs d'IP fixe...

[pedromatk]

Bonjour à vous, 

Merci pour votre aide 

Ma solution : Ouvrir les ports 5000/5001/443/80 sur le routeur orange sur l'ip du NAS.

Après ça : reverse proxy OK toutes mes urls fonctionne en HTTPS 👮‍♀️

[.Shad.]

Pourquoi ouvrir les ports 5000 et 5001 alors que tu peux aussi utiliser le proxy inversé pour accéder à DSM ?

[Jules Perrelet]

Bonjour à tous, 

Impossible de créer un certificat Let's Encrypt. Apparemment, le port 80 n'est pas ouvert. Or il l'est sur le NAS comme sur le routeur. Qqch m'échappe...pourriez-vous jetez un coup d'oeil à mes captures d'écrans ci-dessous et me dire si tout est ok ?

Merci d'avance !