[Tuto] Reverse Proxy

[Jcdusse44]

Bonjour,
l'autre solution est d'installer un serveur DNS sur ton nas (cf excellent tuto de Fenrir)

[TuringFan]

Le 29/05/2020 à 18:18, GrOoT64 a dit :

Je sais ! Enfin je pense !
Tu as un serveur DNS sur le routeur non ? Si c'est le cas, il faut enregistrer un type A de file.ndd.fr vers IP.du.NAS sur ton serveur DNS !

Yes ça marche !

Merci encore à toi @GrOoT64 et à @oracle7 !

[TuringFan]

Bonjour à tous.

Merci pour ce tuto très clair, je l'ai suivi (a priori avec succès). J'ai maintenant des petites questions d'ordre générales pour voir si j'ai bien compris ce que je faisais (je suis débutant en réseau).

Pour la création d'un reverser proxy sur l'adresse "cible.ndd.tld", il faut donc trois prérequis :

• P1 (facultatif) : Créer une ressource de type A ou CNAME chez son Registrar
• P2 (obligatoire) : Adapter son certificat
• P3 (obligatoire) : Créer une ressource de type A sur son DNS (si on en a créé un avec une vue locale / VPN par exemple)

1. En effectuant P3 mais pas P1 le reverse Proxy ne se fera qu'en local ou en VPN (accès au SRM / DSM par exemple) : impossible d'y accéder depuis l’extérieur.
2. En effectuant P3 et P1 on permet l'accès à l'application concernée depuis l'extérieur.
3. Dans tous les cas webstation force la redirection vers le port 443 pour accéder au reverse proxy.
4. Une fois arrivé au reverse proxy plus besoin du https car déjà en local, la destination est donc en http pour ne pas dégrader les performances.
5. D'une façon générale, en donnant accès à une application à un utilisateur depuis l’extérieur (Video Station par exemple) celui-ci n'aura pas accès en lecture/édition/suppression (sauf lecture des vidéos dans cet exemple évidemment) aux autres données et applications du réseau (dont les données du NAS, le DSM et le SRM).

Ces 5 affirmations sont elles justes ?

Enfin, une autre question (peut-être sans véritable sens). Je suis utilisateur du protocole SSL VPN de synology : concrètement je me connecte à un portail en "https://ndd.tld:XXXX" pour me connecter en VPN à mon NAS. Est-il possible d'utiliser un reverse proxy pour n'avoir qu'à taper "https://vpn.ndd.tld" et accéder au portail VPN ?

Ce qui me parait difficile à gérer c'est l e va et vient entre l'IP privée et publique. En effet ndd.tld pointe vers mon IP Publique chez mon registrar mais une fois arrivé au reverse proxy j'imagine que ce sera mon DNS qui sdera utilisé et qui lui pointe vers mon IP locale. Comment ensuite repartir vers mon IP Publique pour accéder au portail VPN de synology ?

@GrOoT64 et @oracle7 peut être une idée sur ce point spécifique ?

Merci d'avance,

Modifié le 31 mai 2020 par TuringFan

[oracle7]

@TuringFan

OUI pour les 3 prérequis avec pour P1 : Un CNAME me parait suffisant : "xxxxx.ndd.tld.   0   CNAME     nddd.fr.".

Perso, je n'ai aucun enregistrement "A" dans ma zone DNS chez OVH.

OUI aussi pour les 1 à 5 (sauf erreur de ma part).

Et pour rajouter de la sécurité au point 1, tu exploites l'astuce donnée par @GrOoT64 qui verrouille l'utilisation des "xxxx.ndd.tld" au seul local et VPN par l'extérieur. Pour cela, tu rajoutes un profil d'accès qui n'autorise que ton réseau local et refuse tout le reste, aux redirections que tu as créées dans le reverse proxy. Je l'ai fait c'est super !

Ainsi la saisie depuis l'extérieur d'un "xxxx.ndd.tld" hors de ton VPN n'a aucune chance d'aboutir sauf sur une page d'erreur.

Pour le point 5, il faut aussi bien évidemment que les droits utilisateur soient correctement réglés sur le dossier partagé qui contient les vidéos.

Cordialement

oracle7😉

 

 

@TuringFan

il y a 55 minutes, TuringFan a dit :

concrètement je me connecte à un portail en "https://ndd.tld:XXXX" pour me connecter en VPN à mon NAS. Est-il possible d'utiliser un reverse proxy pour n'avoir qu'à taper "https://vpn.ndd.tld" et accéder au portail VPN ?

Je ne comprends pas trop ton idée.

Ce que tu appelles ton portail VPN n'est jamais que l'application cliente du VPN (en l'occurence VPN Plus) qui te permet d'établir la connexion VPN. Ensuite tu utilises un navigateur dans le quel tu tapes "xxxxx.ndd.tld" pour atteindre le service voulu.

Rien de plus à faire ou alors j'ai raté un truc ?

Cordialement

oracle7😉

 

[TuringFan]

Merci @oracle7

Il y a 13 heures, oracle7 a dit :

Perso, je n'ai aucun enregistrement "A" dans ma zone DNS chez OVH.

Idem, c'était un exemple générique pour bien comprendre.

Il y a 13 heures, oracle7 a dit :

t pour rajouter de la sécurité au point 1, tu exploites l'astuce donnée par @GrOoT64 qui verrouille l'utilisation des "xxxx.ndd.tld" au seul local et VPN par l'extérieur. Pour cela, tu rajoutes un profil d'accès qui n'autorise que ton réseau local et refuse tout le reste, aux redirections que tu as créées dans le reverse proxy. Je l'ai fait c'est super !

Top, je vais le faire de ce pas pour le SRM et le DSM. Si je comprends bien c'est un plus (que je vais faire) mais sur le papier ma configuration P3 uniquement (sans P1) est déjà théoriquement bloquante ?

Il y a 13 heures, oracle7 a dit :

Je ne comprends pas trop ton idée.

Ce que tu appelles ton portail VPN n'est jamais que l'application cliente du VPN (en l'occurence VPN Plus) qui te permet d'établir la connexion VPN. Ensuite tu utilises un navigateur dans le quel tu tapes "xxxxx.ndd.tld" pour atteindre le service voulu.

Rien de plus à faire ou alors j'ai raté un truc ?

Mon idée n'a peut-être aucun sens, en gros je voulais savoir si je pouvais éviter d'avoir à préciser le port de mon SSL VPN quand je tape https://ndd.tld:XXXX dans mon navigateur pour à la place taper quelque chose du type "https://vpn.ndd.tld" ? Au même titre que j'utilise un reverse proxy pour renvoyer sur des appli sans préciser le port.

Merci encore !

Modifié le 1 juin 2020 par TuringFan

[_DR64_]

Il y a 1 heure, TuringFan a dit :

Mon idée n'a peut-être aucun sens, en gros je voulais savoir si je pouvais éviter d'avoir à préciser le port de mon SSL VPN quand je tape https://ndd.tld:XXXX dans mon navigateur pour à la place taper quelque chose du type "https://vpn.ndd.tld" ? Au même titre que j'utilise un reverse proxy pour renvoyer sur des appli sans préciser le port.

Bonjour @TuringFan, dans mon cas,  j'ai créé une redirection visible permanente chez mon registrar : 
vpn.ndd.tld vers https://ndd.tld:port-vpn-plus

[TuringFan]

Merci @GrOoT64,

Il faut faire une redirection de qqelle nature : site web ?

De mon côté j'ai l'impression que seuls les redirections visibles (l'URL change effectivement dans la barre d'adresse du navigateur) fonctionnent et que pour le client il faille indiuer la véritable adresse.
 

Modifié le 2 juin 2020 par TuringFan

[_DR64_]

Il y a 11 heures, TuringFan a dit :

Merci @GrOoT64,

Il faut faire une redirection de qqelle nature : site web ?

De mon côté j'ai l'impression que seuls les redirections visibles (l'URL change effectivement dans la barre d'adresse du navigateur) fonctionnent et que pour le client il faille indiuer la véritable adresse.
 

Bonjour @TuringFan, 

Oui il faut une redirection d nature site web en visible et permanente (301)

[oracle7]

@GrOoT64 et @TuringFan

Bonjour,

Pardonnez mon ignorance, mais pourquoi faire une redirection visible et pas plutôt invisible ? Cela me paraît mieux qu'elle soit invisible surtout vis à vis de regards indiscrets par dessus l'épaule, lors de la saisie de l'URL, et qui du coup pourraient voir la "vraie" URL, Non ?

Cordialement

oracle7😉

Modifié le 3 juin 2020 par oracle7

[_DR64_]

c'est pas faux 🙂 

[TuringFan]

@oracle7 et @GrOoT64,

Complètement d'accord, je préfèrerais en invisible mais justement je ne parviens pas à avoir quelque chose d'opérationnel en dehors de la configuration visible permanente.

Preneur de vos commentaires.

[_DR64_]

J'ai cherché et j'ai finalement tout retiré pour ne laisse que ndd.tld:port pour l'appli VPN PLUS et https://ndd.tld:port pour les PC. Ports ouverts dans le routeur sur la France uniquement.

[arl0ng]

Bonjour,

 

Ca faisait un moment que j'utilisais le reverse proxy et je viens de me rendre compte, après un redémarrage du routeur, qu'il n'y a que le 1er dynhost qui se met à jour.

Y a-t-il une manipulation à faire pour que l'ip soit mise à jour automatiquement ?

Et seconde question, mon FAI est compatible ipv6, j'ai donc configuré mon routeur, mon nas a bien une ip ipv6 mais quand je veux ajouter ovh en ddns sur le synology, il n'affiche que l'ipv4. Et j'ai également ajouté une entrée de type AAAA poitant vers l'ipv6 du nas dans zone dns de ovh. Est-ce normal ?

 

 

Modifié le 18 juin 2020 par arl0ng

[arl0ng]

Bonjour,
 
Ca faisait un moment que j'utilisais le reverse proxy et je viens de me rendre compte, après un redémarrage du routeur, qu'il n'y a que le 1er dynhost qui se met à jour.
Y a-t-il une manipulation à faire pour que l'ip soit mise à jour automatiquement ?
Et seconde question, mon FAI est compatible ipv6, j'ai donc configuré mon routeur, mon nas a bien une ip ipv6 mais quand je veux ajouter ovh en ddns sur le synology, il n'affiche que l'ipv4. Et j'ai également ajouté une entrée de type AAAA poitant vers l'ipv6 du nas dans zone dns de ovh. Est-ce normal ?
 
 

[edit]
finalement j'ai trouvé la solution, j'ai mis des AAAA vers domaine et également pour chaque sous domaine.
J'ai supprimé les dynhost et ça fonctionne.

Sent from my Redmi Note 7 using Tapatalk

[Lestat69]

Bonjour,

J'ai une question qui peux paraître un peu bête, mais j'ai suivi le tuto et tout fonctionne à merveille. j'ai une ip fixe et chez mon registrar j'ai fait pointé mon enregistrement A sur mon ip fixe et en j'ai  fait un enregistrement CNAME *.ndd.fr, du coup j'ai généré un certificat chez let's script avec mon ndd.fr et dans "autre nom d'objet" j'ai mis tout mes sous domaine test.ndd.fr, test2.ndd.fr ect... et ensuite fait mon reverse proxy.

Dans un autre tuto j'ai vu que plutôt de mettre un CNAME, il mettait  des enregistrements  A pour tout les sous domaine et les faisait tous pointer sur son ip fixe et ensuite il créait un certificat pour chaque sous domaine, j'ai testé et ça fonctionne aussi.

Du coup ma question est,  quelle est la bonne pratique et pourquoi utiliser une méthode plus que l'autre
Merci d'avance pour vos réponse 

 

[Thierry94]

Pour ma part un seul certificat pour le domaine et les "sous-domaines" c'est un seul renouvellement tous les 3 mois et c'est bien suffisant 😉

[Jeff777]

Bonjour,

Oh....que oui !

[.Shad.]

Il y a 2 heures, Lestat69 a dit :

Dans un autre tuto j'ai vu que plutôt de mettre un CNAME, il mettait  des enregistrements  A pour tout les sous domaine et les faisait tous pointer sur son ip fixe et ensuite il créait un certificat pour chaque sous domaine, j'ai testé et ça fonctionne aussi.

Je ne vois personnellement aucun intérêt de faire ça. Le jour où tu décides d'héberger tes services sur un VPS par exemple, t'es bon pour modifier tous les enregistrements.

[lowfab]

bonsoir,

en suivant ce tuto je suis parvenu a faire du proxy renversé pour mes services synology et quelques serveurs web (contrôleur unifi, qbittorrent). j'ai un nom de domaine chez ovh.

je ne suis pas allé jusqu'au VII. Auto-hébergement d'un site web et mise en place des redirections car je n'ai pas vu l’intérêt pour le moment.

je bute sur un serveur rutoorent qui a une adresse du type xx.xx.xx.xx/rutorrent

Y-a-t-il une possibilité de l'ajouter dans la liste des serveurs web traité par le synology ?

[_DR64_]

Bonjour @lowfab,
Il faudrait que tu applique la partie VII du toto et dans le fichier .htaccess  tu mets : 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
RewriteCond %{HTTP_HOST} ^rutorrent.ndd.tld$
RewriteRule ^$ https://rutorrent.ndd.tld/rutorrent [L,R=301]

Et un reverse :  https://rutorrent.ndd.tld ==> ip locale du serveur rutorrent

Les caractères en rouge sont a adapter à tes adresses. ça devrait le faire comme ça

Modifié le 6 juillet 2020 par GrOoT64

[lowfab]

Il y a 4 heures, GrOoT64 a dit :

Bonjour @lowfab,
Il faudrait que tu applique la partie VII du toto et dans le fichier .htaccess  tu mets : 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
RewriteCond %{HTTP_HOST} ^rutorrent.ndd.tld$
RewriteRule ^$ https://rutorrent.ndd.tld/rutorrent [L,R=301]

Et un reverse :  https://rutorrent.ndd.tld ==> ip locale du serveur rutorrent

Les caractères en rouge sont a adapter à tes adresses. ça devrait le faire comme ça

@GrOoT64

ok je vais tenter cela, merci.

j'ai tout de même un service qui ne fonctionne pas en reverse proxy, c'est synology drive

Je parviens à me connecter avec l'appli sous android (drive.ndd.ovh:443) , mais impossible sur PC.

Il y a un point qui m'a échappé ?

 

[Jeff777]

il y a 9 minutes, lowfab a dit :

Je parviens à me connecter avec l'appli sous android (drive.ndd.ovh:443) , mais impossible sur PC.

Le proxy sur PC  https://drive.ndd.tld ====> http://ipprivéedunas:10002 

Il faut déclarer le port 10002 dans l'onglet applications

Modifié le 6 juillet 2020 par Jeff777

[lowfab]

@Jeff777

C'est bien ce que j'ai fait sur le port 45001. Je vais saisir l’adresse ip du nas plutôt que localhost bien cela fonctionne pour les autres services du NAS.

Ce qui est vraiment bizarre c'est que cela fonctionne avec l'app android mais pas le client windows.

[Jeff777]

il y a 10 minutes, lowfab a dit :

Ce qui est vraiment bizarre c'est que cela fonctionne avec l'app android mais pas le client windows.

Ce n'est pas le même fonctionnement.

Question : tu as bien une adresse fullstack (avec tous les ports) ?

[lowfab]

il y a une heure, Jeff777 a dit :

Ce n'est pas le même fonctionnement.

Question : tu as bien une adresse fullstack (avec tous les ports) ?

oui j'ai un abonnement orange fibre