Jcdusse44 Posté(e) le 31 mai 2020 Posté(e) le 31 mai 2020 Bonjour, l'autre solution est d'installer un serveur DNS sur ton nas (cf excellent tuto de Fenrir) 0 Citer
TuringFan Posté(e) le 31 mai 2020 Posté(e) le 31 mai 2020 Le 29/05/2020 à 18:18, GrOoT64 a dit : Je sais ! Enfin je pense ! Tu as un serveur DNS sur le routeur non ? Si c'est le cas, il faut enregistrer un type A de file.ndd.fr vers IP.du.NAS sur ton serveur DNS ! Yes ça marche ! Merci encore à toi @GrOoT64 et à @oracle7 ! 0 Citer
TuringFan Posté(e) le 31 mai 2020 Posté(e) le 31 mai 2020 (modifié) Bonjour à tous. Merci pour ce tuto très clair, je l'ai suivi (a priori avec succès). J'ai maintenant des petites questions d'ordre générales pour voir si j'ai bien compris ce que je faisais (je suis débutant en réseau). Pour la création d'un reverser proxy sur l'adresse "cible.ndd.tld", il faut donc trois prérequis : P1 (facultatif) : Créer une ressource de type A ou CNAME chez son Registrar P2 (obligatoire) : Adapter son certificat P3 (obligatoire) : Créer une ressource de type A sur son DNS (si on en a créé un avec une vue locale / VPN par exemple) En effectuant P3 mais pas P1 le reverse Proxy ne se fera qu'en local ou en VPN (accès au SRM / DSM par exemple) : impossible d'y accéder depuis l’extérieur. En effectuant P3 et P1 on permet l'accès à l'application concernée depuis l'extérieur. Dans tous les cas webstation force la redirection vers le port 443 pour accéder au reverse proxy. Une fois arrivé au reverse proxy plus besoin du https car déjà en local, la destination est donc en http pour ne pas dégrader les performances. D'une façon générale, en donnant accès à une application à un utilisateur depuis l’extérieur (Video Station par exemple) celui-ci n'aura pas accès en lecture/édition/suppression (sauf lecture des vidéos dans cet exemple évidemment) aux autres données et applications du réseau (dont les données du NAS, le DSM et le SRM). Ces 5 affirmations sont elles justes ? Enfin, une autre question (peut-être sans véritable sens). Je suis utilisateur du protocole SSL VPN de synology : concrètement je me connecte à un portail en "https://ndd.tld:XXXX" pour me connecter en VPN à mon NAS. Est-il possible d'utiliser un reverse proxy pour n'avoir qu'à taper "https://vpn.ndd.tld" et accéder au portail VPN ? Ce qui me parait difficile à gérer c'est l e va et vient entre l'IP privée et publique. En effet ndd.tld pointe vers mon IP Publique chez mon registrar mais une fois arrivé au reverse proxy j'imagine que ce sera mon DNS qui sdera utilisé et qui lui pointe vers mon IP locale. Comment ensuite repartir vers mon IP Publique pour accéder au portail VPN de synology ? @GrOoT64 et @oracle7 peut être une idée sur ce point spécifique ? Merci d'avance, Modifié le 31 mai 2020 par TuringFan 0 Citer
oracle7 Posté(e) le 31 mai 2020 Posté(e) le 31 mai 2020 @TuringFan OUI pour les 3 prérequis avec pour P1 : Un CNAME me parait suffisant : "xxxxx.ndd.tld. 0 CNAME nddd.fr.". Perso, je n'ai aucun enregistrement "A" dans ma zone DNS chez OVH. OUI aussi pour les 1 à 5 (sauf erreur de ma part). Et pour rajouter de la sécurité au point 1, tu exploites l'astuce donnée par @GrOoT64 qui verrouille l'utilisation des "xxxx.ndd.tld" au seul local et VPN par l'extérieur. Pour cela, tu rajoutes un profil d'accès qui n'autorise que ton réseau local et refuse tout le reste, aux redirections que tu as créées dans le reverse proxy. Je l'ai fait c'est super ! Ainsi la saisie depuis l'extérieur d'un "xxxx.ndd.tld" hors de ton VPN n'a aucune chance d'aboutir sauf sur une page d'erreur. Pour le point 5, il faut aussi bien évidemment que les droits utilisateur soient correctement réglés sur le dossier partagé qui contient les vidéos. Cordialement oracle7😉 @TuringFan il y a 55 minutes, TuringFan a dit : concrètement je me connecte à un portail en "https://ndd.tld:XXXX" pour me connecter en VPN à mon NAS. Est-il possible d'utiliser un reverse proxy pour n'avoir qu'à taper "https://vpn.ndd.tld" et accéder au portail VPN ? Je ne comprends pas trop ton idée. Ce que tu appelles ton portail VPN n'est jamais que l'application cliente du VPN (en l'occurence VPN Plus) qui te permet d'établir la connexion VPN. Ensuite tu utilises un navigateur dans le quel tu tapes "xxxxx.ndd.tld" pour atteindre le service voulu. Rien de plus à faire ou alors j'ai raté un truc ? Cordialement oracle7😉 0 Citer
TuringFan Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 (modifié) Merci @oracle7 Il y a 13 heures, oracle7 a dit : Perso, je n'ai aucun enregistrement "A" dans ma zone DNS chez OVH. Idem, c'était un exemple générique pour bien comprendre. Il y a 13 heures, oracle7 a dit : t pour rajouter de la sécurité au point 1, tu exploites l'astuce donnée par @GrOoT64 qui verrouille l'utilisation des "xxxx.ndd.tld" au seul local et VPN par l'extérieur. Pour cela, tu rajoutes un profil d'accès qui n'autorise que ton réseau local et refuse tout le reste, aux redirections que tu as créées dans le reverse proxy. Je l'ai fait c'est super ! Top, je vais le faire de ce pas pour le SRM et le DSM. Si je comprends bien c'est un plus (que je vais faire) mais sur le papier ma configuration P3 uniquement (sans P1) est déjà théoriquement bloquante ? Il y a 13 heures, oracle7 a dit : Je ne comprends pas trop ton idée. Ce que tu appelles ton portail VPN n'est jamais que l'application cliente du VPN (en l'occurence VPN Plus) qui te permet d'établir la connexion VPN. Ensuite tu utilises un navigateur dans le quel tu tapes "xxxxx.ndd.tld" pour atteindre le service voulu. Rien de plus à faire ou alors j'ai raté un truc ? Mon idée n'a peut-être aucun sens, en gros je voulais savoir si je pouvais éviter d'avoir à préciser le port de mon SSL VPN quand je tape https://ndd.tld:XXXX dans mon navigateur pour à la place taper quelque chose du type "https://vpn.ndd.tld" ? Au même titre que j'utilise un reverse proxy pour renvoyer sur des appli sans préciser le port. Merci encore ! Modifié le 1 juin 2020 par TuringFan 0 Citer
_DR64_ Posté(e) le 1 juin 2020 Posté(e) le 1 juin 2020 Il y a 1 heure, TuringFan a dit : Mon idée n'a peut-être aucun sens, en gros je voulais savoir si je pouvais éviter d'avoir à préciser le port de mon SSL VPN quand je tape https://ndd.tld:XXXX dans mon navigateur pour à la place taper quelque chose du type "https://vpn.ndd.tld" ? Au même titre que j'utilise un reverse proxy pour renvoyer sur des appli sans préciser le port. Bonjour @TuringFan, dans mon cas, j'ai créé une redirection visible permanente chez mon registrar : vpn.ndd.tld vers https://ndd.tld:port-vpn-plus 0 Citer
TuringFan Posté(e) le 2 juin 2020 Posté(e) le 2 juin 2020 (modifié) Merci @GrOoT64, Il faut faire une redirection de qqelle nature : site web ? De mon côté j'ai l'impression que seuls les redirections visibles (l'URL change effectivement dans la barre d'adresse du navigateur) fonctionnent et que pour le client il faille indiuer la véritable adresse. Modifié le 2 juin 2020 par TuringFan 0 Citer
_DR64_ Posté(e) le 3 juin 2020 Posté(e) le 3 juin 2020 Il y a 11 heures, TuringFan a dit : Merci @GrOoT64, Il faut faire une redirection de qqelle nature : site web ? De mon côté j'ai l'impression que seuls les redirections visibles (l'URL change effectivement dans la barre d'adresse du navigateur) fonctionnent et que pour le client il faille indiuer la véritable adresse. Bonjour @TuringFan, Oui il faut une redirection d nature site web en visible et permanente (301) 0 Citer
oracle7 Posté(e) le 3 juin 2020 Posté(e) le 3 juin 2020 (modifié) @GrOoT64 et @TuringFan Bonjour, Pardonnez mon ignorance, mais pourquoi faire une redirection visible et pas plutôt invisible ? Cela me paraît mieux qu'elle soit invisible surtout vis à vis de regards indiscrets par dessus l'épaule, lors de la saisie de l'URL, et qui du coup pourraient voir la "vraie" URL, Non ? Cordialement oracle7😉 Modifié le 3 juin 2020 par oracle7 0 Citer
TuringFan Posté(e) le 4 juin 2020 Posté(e) le 4 juin 2020 @oracle7 et @GrOoT64, Complètement d'accord, je préfèrerais en invisible mais justement je ne parviens pas à avoir quelque chose d'opérationnel en dehors de la configuration visible permanente. Preneur de vos commentaires. 0 Citer
_DR64_ Posté(e) le 4 juin 2020 Posté(e) le 4 juin 2020 J'ai cherché et j'ai finalement tout retiré pour ne laisse que ndd.tld:port pour l'appli VPN PLUS et https://ndd.tld:port pour les PC. Ports ouverts dans le routeur sur la France uniquement. 0 Citer
arl0ng Posté(e) le 18 juin 2020 Posté(e) le 18 juin 2020 (modifié) Bonjour, Ca faisait un moment que j'utilisais le reverse proxy et je viens de me rendre compte, après un redémarrage du routeur, qu'il n'y a que le 1er dynhost qui se met à jour. Y a-t-il une manipulation à faire pour que l'ip soit mise à jour automatiquement ? Et seconde question, mon FAI est compatible ipv6, j'ai donc configuré mon routeur, mon nas a bien une ip ipv6 mais quand je veux ajouter ovh en ddns sur le synology, il n'affiche que l'ipv4. Et j'ai également ajouté une entrée de type AAAA poitant vers l'ipv6 du nas dans zone dns de ovh. Est-ce normal ? Modifié le 18 juin 2020 par arl0ng 0 Citer
arl0ng Posté(e) le 18 juin 2020 Posté(e) le 18 juin 2020 Bonjour, Ca faisait un moment que j'utilisais le reverse proxy et je viens de me rendre compte, après un redémarrage du routeur, qu'il n'y a que le 1er dynhost qui se met à jour. Y a-t-il une manipulation à faire pour que l'ip soit mise à jour automatiquement ? Et seconde question, mon FAI est compatible ipv6, j'ai donc configuré mon routeur, mon nas a bien une ip ipv6 mais quand je veux ajouter ovh en ddns sur le synology, il n'affiche que l'ipv4. Et j'ai également ajouté une entrée de type AAAA poitant vers l'ipv6 du nas dans zone dns de ovh. Est-ce normal ? [edit]finalement j'ai trouvé la solution, j'ai mis des AAAA vers domaine et également pour chaque sous domaine.J'ai supprimé les dynhost et ça fonctionne. Sent from my Redmi Note 7 using Tapatalk 0 Citer
Lestat69 Posté(e) le 20 juin 2020 Posté(e) le 20 juin 2020 Bonjour, J'ai une question qui peux paraître un peu bête, mais j'ai suivi le tuto et tout fonctionne à merveille. j'ai une ip fixe et chez mon registrar j'ai fait pointé mon enregistrement A sur mon ip fixe et en j'ai fait un enregistrement CNAME *.ndd.fr, du coup j'ai généré un certificat chez let's script avec mon ndd.fr et dans "autre nom d'objet" j'ai mis tout mes sous domaine test.ndd.fr, test2.ndd.fr ect... et ensuite fait mon reverse proxy. Dans un autre tuto j'ai vu que plutôt de mettre un CNAME, il mettait des enregistrements A pour tout les sous domaine et les faisait tous pointer sur son ip fixe et ensuite il créait un certificat pour chaque sous domaine, j'ai testé et ça fonctionne aussi. Du coup ma question est, quelle est la bonne pratique et pourquoi utiliser une méthode plus que l'autre Merci d'avance pour vos réponse 0 Citer
Thierry94 Posté(e) le 20 juin 2020 Posté(e) le 20 juin 2020 Pour ma part un seul certificat pour le domaine et les "sous-domaines" c'est un seul renouvellement tous les 3 mois et c'est bien suffisant 😉 0 Citer
.Shad. Posté(e) le 20 juin 2020 Posté(e) le 20 juin 2020 Il y a 2 heures, Lestat69 a dit : Dans un autre tuto j'ai vu que plutôt de mettre un CNAME, il mettait des enregistrements A pour tout les sous domaine et les faisait tous pointer sur son ip fixe et ensuite il créait un certificat pour chaque sous domaine, j'ai testé et ça fonctionne aussi. Je ne vois personnellement aucun intérêt de faire ça. Le jour où tu décides d'héberger tes services sur un VPS par exemple, t'es bon pour modifier tous les enregistrements. 0 Citer
lowfab Posté(e) le 5 juillet 2020 Posté(e) le 5 juillet 2020 bonsoir, en suivant ce tuto je suis parvenu a faire du proxy renversé pour mes services synology et quelques serveurs web (contrôleur unifi, qbittorrent). j'ai un nom de domaine chez ovh. je ne suis pas allé jusqu'au VII. Auto-hébergement d'un site web et mise en place des redirections car je n'ai pas vu l’intérêt pour le moment. je bute sur un serveur rutoorent qui a une adresse du type xx.xx.xx.xx/rutorrent Y-a-t-il une possibilité de l'ajouter dans la liste des serveurs web traité par le synology ? 0 Citer
_DR64_ Posté(e) le 6 juillet 2020 Posté(e) le 6 juillet 2020 (modifié) Bonjour @lowfab, Il faudrait que tu applique la partie VII du toto et dans le fichier .htaccess tu mets : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} RewriteCond %{HTTP_HOST} ^rutorrent.ndd.tld$ RewriteRule ^$ https://rutorrent.ndd.tld/rutorrent [L,R=301] Et un reverse : https://rutorrent.ndd.tld ==> ip locale du serveur rutorrent Les caractères en rouge sont a adapter à tes adresses. ça devrait le faire comme ça Modifié le 6 juillet 2020 par GrOoT64 0 Citer
lowfab Posté(e) le 6 juillet 2020 Posté(e) le 6 juillet 2020 Il y a 4 heures, GrOoT64 a dit : Bonjour @lowfab, Il faudrait que tu applique la partie VII du toto et dans le fichier .htaccess tu mets : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} RewriteCond %{HTTP_HOST} ^rutorrent.ndd.tld$ RewriteRule ^$ https://rutorrent.ndd.tld/rutorrent [L,R=301] Et un reverse : https://rutorrent.ndd.tld ==> ip locale du serveur rutorrent Les caractères en rouge sont a adapter à tes adresses. ça devrait le faire comme ça @GrOoT64 ok je vais tenter cela, merci. j'ai tout de même un service qui ne fonctionne pas en reverse proxy, c'est synology drive Je parviens à me connecter avec l'appli sous android (drive.ndd.ovh:443) , mais impossible sur PC. Il y a un point qui m'a échappé ? 0 Citer
Jeff777 Posté(e) le 6 juillet 2020 Posté(e) le 6 juillet 2020 (modifié) il y a 9 minutes, lowfab a dit : Je parviens à me connecter avec l'appli sous android (drive.ndd.ovh:443) , mais impossible sur PC. Le proxy sur PC https://drive.ndd.tld ====> http://ipprivéedunas:10002 Il faut déclarer le port 10002 dans l'onglet applications Modifié le 6 juillet 2020 par Jeff777 0 Citer
lowfab Posté(e) le 6 juillet 2020 Posté(e) le 6 juillet 2020 @Jeff777 C'est bien ce que j'ai fait sur le port 45001. Je vais saisir l’adresse ip du nas plutôt que localhost bien cela fonctionne pour les autres services du NAS. Ce qui est vraiment bizarre c'est que cela fonctionne avec l'app android mais pas le client windows. 0 Citer
Jeff777 Posté(e) le 6 juillet 2020 Posté(e) le 6 juillet 2020 il y a 10 minutes, lowfab a dit : Ce qui est vraiment bizarre c'est que cela fonctionne avec l'app android mais pas le client windows. Ce n'est pas le même fonctionnement. Question : tu as bien une adresse fullstack (avec tous les ports) ? 0 Citer
lowfab Posté(e) le 6 juillet 2020 Posté(e) le 6 juillet 2020 il y a une heure, Jeff777 a dit : Ce n'est pas le même fonctionnement. Question : tu as bien une adresse fullstack (avec tous les ports) ? oui j'ai un abonnement orange fibre 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.