Thierry94 Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 (modifié) Dans ma configuration je n'ai que le port 443 ouvert sur ma box et redirigé vers la NAS. J'ai mis en place le reverse proxy qui passe les requêtes de Https vers Http en local pour les applications gérées. Par contre je voudrais pouvoir avoir l'accès photo station par photo.ndd.fr sans être obligé d'ajouter le /photo comme actuellement car si je ne le met pas dans la requête photo.ndd.fr arrive sur DSM. De vos échange j'ai cru comprendre qu'il faut ajouter un fichier .htaccess est-ce cela ? dans ce cas je devrais je activer webstation ? Modifié le 11 décembre 2020 par Thierry94 0 Citer
Jeff777 Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 Bonjour @Thierry94 Si tu utilises les proxies inversés tu as activé Webstation non? 0 Citer
Thierry94 Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 (modifié) Non ca fonctionne sans Webstation Pour info le websocket est à mettre en place pour Surveillance Station il n'est pas nécessaire pour Photo Station Modifié le 11 décembre 2020 par Thierry94 0 Citer
Jeff777 Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 (modifié) Ah oui pardon. Pour .htaccess il le faudra oui. Autrement je me demande si un fichier php pour la redirection vers https avec la solution @oracle7 d'activer web socket dans le proxy photo peut fonctionner ? Ah je n'avais pas vu ton edit. Oui effectivement je l'ai activé dans webstation Modifié le 11 décembre 2020 par Jeff777 0 Citer
Thierry94 Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 Citation RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} RewriteCond %{HTTP_HOST} ^photo.ndd.tld$ RewriteRule ^$ https://photo.ndd.tld/photo [L,R=301] Il suffit que je mette ce fichier tel quel ? J'ai vu aussi qu'il fallait installer Apache pour pouvoir utiliser un fichier .htaccess ? 0 Citer
Jeff777 Posté(e) le 11 décembre 2020 Posté(e) le 11 décembre 2020 Oui c'est ce que j'ai. plus le reverse proxy https://photo.ndd.tld ==>http://iplocaldu nas 0 Citer
fm76 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 (modifié) Bonjour, je n'arrive pas à implémenter le ReverseProxy Synology correctement. 1) Zone DNS : ndd.com video.ndd.com CNAME nas.ndd.com. audio.ndd.com CNAME nas.ndd.com. file.ndd.com CNAME nas.ndd.com. nas.ndd.com utilise DynHost car @IP dynamique opérateur 2) Synology Sur Portail des applications Application: Video Station : Activer un port https personnalisé / port wxy1 Audio Station : Activer un port https personnalisé / port wxy2 File Station : Activer un port https personnalisé / port wxy3 Proxy inversé: Video : Source : HTTPS / video.ndd.com / 443 - Destination : HTTP / localhost / wxy1 Audio : Source : HTTPS / audio.ndd.com / 443 - Destination : HTTP / localhost / wxy2 File : Source : HTTPS / file.ndd.com / 443 - Destination : HTTP / localhost / wxy3 Résultats observés (depuis internet) https://nas.ndd.com = OK (accueil DSM) https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station Aucun problème de certfificat LetsEncrypt constaté. Merci pour votre aide Modifié le 13 décembre 2020 par fm76 0 Citer
oracle7 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 (modifié) @fm76 Bonjour, il y a 12 minutes, fm76 a dit : Sur Portail des applications Application: Video Station : Activer un port https personnalisé / port wxy1 Audio Station : Activer un port https personnalisé / port wxy2 File Station : Activer un port https personnalisé / port wxy3 A ce niveau, ce sont les ports HTTP qu'il faut indiquer et non pas les ports HTTPS vu que la connexion est déjà en HTTPS. Tu fais alors du https sur du https ce qui est contre productif cela conduit à du double chiffrement inutile. il y a 12 minutes, fm76 a dit : Proxy inversé: Video : Source : HTTPS / video.ndd.com / 443 - Destination : HTTP / localhost / wxy1 Audio : Source : HTTPS / audio.ndd.com / 443 - Destination : HTTP / localhost / wxy2 File : Source : HTTPS / file.ndd.com / 443 - Destination : HTTP / localhost / wxy3 Si dans la partie Application les ports wxy1 et respectivement, wxy2 et wxy3 sont les même que dans la partie Reverse Proxy alors j'en déduit que ce sont des ports HTTPS et donc tu ne peux les utiliser dans le Reverse Proxy, pour la destination au localhost il faut associer le port http de l'application. Cordialement oracle7😉 Modifié le 13 décembre 2020 par oracle7 0 Citer
fm76 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 (modifié) Bonjour oracle7. merci pour ton aide. Ah oui effectivement. J'ai donc réalisé la configuration suivante sur Portail des applications Application: -> utilisation des ports HTTP au lieu de HTTPS Video Station : Activer un port personnalisé (HTTP) / port wxy1 / Se connecter http://nas.ndd.com:wxy1 Audio Station : Activer un port personnalisé (HTTP) / port wxy2 / Se connecter http://nas.ndd.com:wxy2 File Station : Activer un port personnalisé (HTTP) / port wxy3 / Se connecter http://nas.ndd.com:wxy3 Proxy inversé: Video : Source : HTTPS / video.ndd.com / 443 - Port: Activer HTTP/2 - Destination : HTTP / localhost / wxy1 Audio : Source : HTTPS / audio.ndd.com / 443 - Port: Activer HTTP/2 - Destination : HTTP / localhost / wxy2 File : Source : HTTPS / file.ndd.com / 443 - Port: Activer HTTP/2 - Destination : HTTP / localhost / wxy3 Résultats observés (aucun changement par rapport à l'essai précédent depuis internet) https://nas.ndd.com = OK (accueil DSM) https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station Aucun problème de certfificat LetsEncrypt constaté. Merci pour votre aide Cordialement, Modifié le 13 décembre 2020 par fm76 0 Citer
oracle7 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 @fm76 Bonjour, Le port 443 est-il bien transféré (NAT/PAT) dans ta box vers le NAS ? Le port 443 est-il bien ouvert/autorisé dans le pare-feu du NAS ? Quand tu fais un ping nas.dd.tld est-ce que cela répond bien ? Quand tu fais un nslookup nas.ndd.tld 1.1.1.1 ou nslookup nas.ndd.tld @IPBox est-ce que tu as bien ton @IP externe en retour ? Cordialement oracle7☹️ 0 Citer
Jeff777 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 (modifié) Bonjour @fm76 En plus des tests que demande @oracle7 deux constatations : il y a une heure, fm76 a dit : https://nas.ndd.com = OK (accueil DSM) https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM) Si nas.ndd.com te donne l'accueil DSM c'est normal que video.ndd.com etc... te donnent le même résultat puisque tu les as défini en CNAME (alias) de nas.ndd.com. et ça c'est normal si tu as défini video etc... en alias dans le portail des applications. : il y a une heure, fm76 a dit : https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station A part cela je ne suis pas familier avec le Dynhost et je pose la question à @oracle7 . N''est-ce pas ndd.com qu'il faut déclarer et non nas.ndd.com. Et dans la zone ne faut-il pas un ndd.com NS ns.ndd.com (ns pour name serveur) et un ns.ndd.com A iplocaldunas puis faire un reverse proxy avec le https://nas.ndd.com vers http://localhost:5000 Je suppose qu'il s'agit d'une zone privée. Modifié le 13 décembre 2020 par Jeff777 0 Citer
oracle7 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 @Jeff777 Bonjour, Effectivement tu as raison idéalement il faudrait que le DDNS soit défini sur ndd.tld mais souvent il y a une confusion faite en renseignant le subdomain chez OVH. Les utilisateurs saisissent obligatoirement un subdomain dans le premier écran pour créer l'identifiant de gestion du DDNS. Ensuite ils se sentent obligés de saisir aussi ce subdomain dans second écran de saisie du domaine pour le DDNS final alors que le champ n'est pas obligatoire et qu'il peut rester vide pour ainsi avoir au final un DDNS défini sur ndd.tld seul. Cordialement oracle7😏 0 Citer
Jeff777 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 Ah OK. Mais dans le cas ou l'on définie nas.ndd.com en ddns, pour que les reverse proxies fonctionnent il faut mettre audio.nas.ndd.com non? 0 Citer
oracle7 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 @Jeff777 Bonjour Oui absolument Cordialement oracle7 🙂 0 Citer
Jeff777 Posté(e) le 13 décembre 2020 Posté(e) le 13 décembre 2020 Bon @fm76 tu as tes réponses 🙂 0 Citer
fm76 Posté(e) le 14 décembre 2020 Posté(e) le 14 décembre 2020 Bonjour oracle7, merci pour tes réponses. 1) Vérifications Le port 443 est-il bien transféré (NAT/PAT) dans ta box vers le NAS ? - > OUI sur la SFR BOX le port 433 a une règle NAT sur @IP fixe du Synoloy Le port 443 est-il bien ouvert/autorisé dans le pare-feu du NAS ? - > OUI : firewall OK sur (port 443 autorisé) Quand tu fais un ping nas.dd.tld est-ce que cela répond bien ?- > OUI : depuis internet ping nas.ndd.com répond sur l'@ IP publique de la BOX Quand tu fais un nslookup nas.ndd.tld 1.1.1.1 ou nslookup nas.ndd.tld @IPBox est-ce que tu as bien ton @IP externe en retour ? > OUI : depuis internet nslookup nas.ndd.com affiche une résolution sur @IP publique de la BOX (serveur ne faisant pas autorité) + idem pour nslookup nas.ndd.com @IP publique BOX 2) Création CNAME dans zone DNS OVH audio.nas.ndd.com CNAME nas.ndd.com. video.nas.ndd.com CNAME nas.ndd.com. file.nas.ndd.com CNAME nas.ndd.com. J'ai un Warning à la création si je ne mets pas le point à la fin J'ai essayé sans mettre le point final, alors les CNAME sont créés de la manière suivante: audio.nas.ndd.com.ndd.com CNAME nas.ndd.com video.nas.ndd.com.ndd.com CNAME nas.ndd.com file.nas.ndd.com.ndd.com CNAME nas.ndd.com @Jeff777 Effectivement dans le TUTO, il est indiqué de réaliser le CNAME sur ndd.com plutôt que nas.ndd.com Le problème est que dans ma zone DNS ndd.com, j'ai plusieurs hôtes qui sont situés dans différents lieux physiques et utilise différentes BOX (ou @IP publique) + site hébergé chez OVH www.ndd.com Sans doute, il faut que je créé plusieurs zones DNS ou alors si cela est possible un sous domaine synology.ndd.com Merci pour tes conseils Cordialement, fm76 0 Citer
Jeff777 Posté(e) le 14 décembre 2020 Posté(e) le 14 décembre 2020 Si tu as plusieurs domaines ils ont forcément des noms différents ndd1.com ndd2.com etc... Quand tu parles de zone DNS ndd.com c'est ta zone privée, publique, sur ton NAS, chez OVH ? 0 Citer
oracle7 Posté(e) le 14 décembre 2020 Posté(e) le 14 décembre 2020 @fm76 Bonjour, Il y a 2 heures, fm76 a dit : file.nas.ndd.com CNAME nas.ndd.com. J'ai un Warning à la création si je ne mets pas le point à la fin Oui il faut mettre le " . " à la fin sinon comme tu l'as constaté les CNAME ne sont pas bien constitués. Ils doivent être comme cela dans la zone DNS OVH : Citation audio.nas.ndd.com CNAME nas.ndd.com. video.nas.ndd.com CNAME nas.ndd.com. file.nas.ndd.com CNAME nas.ndd.com. Si ton DDNS est "nas.ndd.com" et qu'il pointe bien sur ton @IP externe (box) alors dans le reverse proxy tes redirections doivent être du type (pour reprendre ta notation) : Video : Source : HTTPS / video.nas.ndd.com / 443 - Destination : HTTP / localhost / wxy1 Audio : Source : HTTPS / audio.nas.ndd.com / 443 - Destination : HTTP / localhost / wxy2 File : Source : HTTPS / file.nas.ndd.com / 443 - Destination : HTTP / localhost / wxy3 Et là, cela devrait le faire ... Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 14 décembre 2020 Posté(e) le 14 décembre 2020 Sûr que ça le fait mais je trouve ça un peu long 🙄 ....mais bon. 0 Citer
oracle7 Posté(e) le 14 décembre 2020 Posté(e) le 14 décembre 2020 @Jeff777 Bonjour, Tout à fait d'accord avec toi mais c'est la stricte conséquence d'une définition du DDNS faite "en diagonale" si je puis dire. Même si elle n'est pas fausse en soit, elle engendre simplement cette contrainte de longueur de saisie. Cordialement oracle7😉 0 Citer
Drickce Kangel Posté(e) le 14 décembre 2020 Posté(e) le 14 décembre 2020 Hello, Je glisse ma question ici 🙂 Pourquoi j'accède à mes services (moments, drive, etc) via internet sans VPN? J'aurai préféré n'avoir accès à mes services QUE par le VPN. Vous savez comment faire? Merci pour votre aide, 0 Citer
.Shad. Posté(e) le 15 décembre 2020 Posté(e) le 15 décembre 2020 (modifié) @Drickce Kangel Tu dois utiliser la fonction Profil de contrôle d'accès intégré à DSM, en définissant les règles qui régissent ce contrôle d'accès, dans ton cas par exemple : Tu peux être plus granulaire en modifiant ce qu'il y a après le /, qui correspond au masque de sous-réseau (cette notation est appelée CIDR). Si par exemple tu ne veux autoriser que les IP 192.168.50.1 à 192.168.50.254, tu écriras 192.168.50.0/24 ou 192.168.50.0/255.255.255.0, c'est équivalent. Si ton serveur VPN est en 10.8.0.1 (OpenVPN sur DSM), tu peux mettre 10.8.0.0/24. Puis penser à refuser tout le reste 🙂 mais seulement en fin de liste, c'est résolu séquentiellement donc comme pour le pare-feu, si tu mets ça en début de liste, tu te bloques. Une fois le profil défini, il faut l'utiliser dans une règle de proxy inversé : Tu valides et normalement c'est bon. Ici tu n'auras accès à DSM que si ta connexion prend son origine sur le LAN ou le VPN, depuis l'extérieur tu auras un message comme quoi la ressource n'est pas accessible. Modifié le 15 décembre 2020 par .Shad. 1 Citer
Drickce Kangel Posté(e) le 15 décembre 2020 Posté(e) le 15 décembre 2020 il y a une heure, .Shad. a dit : @Drickce Kangel Tu dois utiliser la fonction Profil de contrôle d'accès intégré à DSM, en définissant les règles qui régissent ce contrôle d'accès, dans ton cas par exemple : Tu peux être plus granulaire en modifiant ce qu'il y a après le /, qui correspond au masque de sous-réseau (cette notation est appelée CIDR). Si par exemple tu ne veux autoriser que les IP 192.168.50.1 à 192.168.50.254, tu écriras 192.168.50.0/24 ou 192.168.50.0/255.255.255.0, c'est équivalent. Si ton serveur VPN est en 10.8.0.1 (OpenVPN sur DSM), tu peux mettre 10.8.0.0/24. Puis penser à refuser tout le reste 🙂 mais seulement en fin de liste, c'est résolu séquentiellement donc comme pour le pare-feu, si tu mets ça en début de liste, tu te bloques. Une fois le profil défini, il faut l'utiliser dans une règle de proxy inversé : Tu valides et normalement c'est bon. Ici tu n'auras accès à DSM que si ta connexion prend son origine sur le LAN ou le VPN, depuis l'extérieur tu auras un message comme quoi la ressource n'est pas accessible. Honnêtement, un très grand merci @.Shad., je cherchais désespérément comment faire cette manipulation. Maintenant, je peux officiellement dire que mon NAS est maintenant configuré: Tuto Test des disques appliqué (j'ai renvoyé 2 disques grâce à ce tuto) Tuto Sécurité appliqué Tuto VPN appliqué (j'ai choisi L2TP/IPSec) Tuto Reverse Proxy appliqué J'ai testé le Tuto DNS, mais je me suis locké hors de mon NAS 😅, j'ai dû réinitialise DSM....et comme ça montre que je ne maitrise pas, je préfère continuer à apprendre 😋 Prochaine étape, je vais faire le tuto anti pub et j'avoue, j'aimerai bien faire le tuto Docker...mais ça m'a l'air niveau 2... En tout cas, merci encore, super communauté. 0 Citer
.Shad. Posté(e) le 15 décembre 2020 Posté(e) le 15 décembre 2020 @Drickce Kangel Comme répondu il y a quelques minutes sur le tutoriel en question, c'est un tutoriel important, avec beaucoup de notions, mais extrêmement intéressant, il te faudra d'autres sources d'informations par contre. Le tutoriel a l'inconvénient que tout étant sur le NAS (proxy inversé, DNS local, applications, ...) on ne distingue pas facilement vers quoi on fait pointer des noms de domaine pour telle ou telle fonctionnalité vu que tout pointe sur la même IP. 😞 Donc te renseigner par ailleurs peut-être intéressant pour avoir un point de comparaison. 😉 Docker tu as franchement le temps 😄 je te conseille de mûrir un peu le reste sinon tu risques d'être submergé. 1 Citer
Diabolomagic Posté(e) le 15 décembre 2020 Posté(e) le 15 décembre 2020 (modifié) Bonjour, je suis désolé si cela à déjà été mentionné mais je n'ai pas trouvé de fonction "rechercher" uniquement dans ce tutoriel. Je me lance, je ne possède aucun ndd, j'utilise une adresse du type https://***.synology.me/ avec un réadressage de port sur mon routeur pour router le port 443 vers le NAS. Cela fonctionne trés bien pour photo station. Je souhaite à présent pouvoir me rendre sur download station de la même façon. Hors dite moi si je me trompe mais je ne peux pas rajouter quoi que ce soit à mon adresse https://***.synology.me dans ce style ---> https://download.***.synology.me Chrome me mets l'erreur "too many redirect" Je ne comprend pas comment m'y prendre ? Cela est il possible sans louer un ndd payant ? Merci à celui qui pourra m'éclairer car là je suis dans le brouillard total ! Modifié le 15 décembre 2020 par Diabolomagic 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.