MilesTEG1 Posté(e) le 9 décembre 2022 Posté(e) le 9 décembre 2022 il y a 44 minutes, Jeff777 a dit : Merci à tous les deux pour vos suggestions....maintenant si vous savez pourquoi ça ne marche que comme cela je suis preneur. 😉 Edit : petite précision dans le reverse proxy j'ai HSTS de coché (comme pour tous) et le profil d'accès configuré à local. C'est peut-être le HSTS qui va pas... Sinon, pourquoi tu t'embêtes avec un domaine pour accéder à ta freebox ? Chez moi mafreebox.freebox.fr ça fonctionne très bien depuis le LAN du RT2600... 0 Citer
Jeff777 Posté(e) le 9 décembre 2022 Posté(e) le 9 décembre 2022 il y a 30 minutes, MilesTEG1 a dit : Sinon, pourquoi tu t'embêtes avec un domaine pour accéder à ta freebox ? Chez moi mafreebox.freebox.fr ça fonctionne très bien depuis le LAN du RT2600... C'est pour le fun...sinon oui mafreebos.freebox.fr ça a toujours fonctionné ! 1 Citer
PiwiLAbruti Posté(e) le 9 décembre 2022 Posté(e) le 9 décembre 2022 Il y a 3 heures, MilesTEG1 a dit : Sinon, pourquoi tu t'embêtes avec un domaine pour accéder à ta freebox ? Pour avoir un accès externe filtré par un profil d'accès du reverse proxy. 1 Citer
MilesTEG1 Posté(e) le 10 décembre 2022 Posté(e) le 10 décembre 2022 (modifié) Il y a 9 heures, PiwiLAbruti a dit : Pour avoir un accès externe filtré par un profil d'accès du reverse proxy. Ok mais le filtre d’accès c’est surtout pour filtrer les iP pas FR ? pzs jsute laisser en accès que le lan et vpn ? Modifié le 10 décembre 2022 par MilesTEG1 0 Citer
Jeff777 Posté(e) le 10 décembre 2022 Posté(e) le 10 décembre 2022 il y a 14 minutes, MilesTEG1 a dit : Ok mais le filtre d’accès c’est surtout pour filter les iP pas FR ? ??? 0 Citer
MilesTEG1 Posté(e) le 10 décembre 2022 Posté(e) le 10 décembre 2022 il y a 13 minutes, Jeff777 a dit : ??? C'est le profil de contrôle d'accès dont on parle. Qui permet de n'autoriser que certaines IP, comme celles des plages LAN, ou VPN. Et en effet, me suis planté, la restriction de pays, c'est le pare-feu qui la gère 🙂 1 Citer
PiwiLAbruti Posté(e) le 10 décembre 2022 Posté(e) le 10 décembre 2022 Il y a 2 heures, MilesTEG1 a dit : pzs jsute laisser en accès que le lan et vpn ? Pas besoin du VPN, c'est tellement restreint au niveau IP que ça ne craint aucune intrusion (ou alors quelqu'un qui m'en veut vraiment 😄). L'avantage est aussi que j'utilise la même URL en interne qu'en externe. 1 Citer
Jeff777 Posté(e) le 11 décembre 2022 Posté(e) le 11 décembre 2022 Le 09/12/2022 à 16:22, Jeff777 a dit : nouveau reverse proxy : https://pop.ndd ==> http://host et entête personnalisé : host==> mafreebox.freebox.fr donne "Désolé, la page que vous recherchez est introuvable." Ah j'ai trouvé. https://pop.ndd ==> http://192.168.0.254 et entête personnalisé : host==> mafreebox.freebox.fr ça c'est bon. Je n'avais pas compris le rôle de l'en-tête . Bien que la solution avec le double https fonctionne aussi, je préfère celle-ci. 0 Citer
Bajoum Posté(e) le 11 janvier 2023 Posté(e) le 11 janvier 2023 Bonjour, Est ce que vous pouvez me confirmer que ce tuto (et surtout la partie redirection http vers https) ne fonctionne que si et seulement si le port 80 est ouvert sur la box et le pare-feu du NAS? Ca m'enchante pas tellement d'ouvrir ce port même si limité à la france. N'y a t'il pas un autre moyen de faire autre que par web station ? Merci 0 Citer
_DR64_ Posté(e) le 11 janvier 2023 Posté(e) le 11 janvier 2023 oui il faut ton port 80 ouvert sinon il faut taper https dans ton adresse 0 Citer
oracle7 Posté(e) le 11 janvier 2023 Posté(e) le 11 janvier 2023 @Bajoum Bonjour, Je plussoie à @_DR64_, et si en plus tu as un certificat Let'Encrypt, il te faudra bien alors aussi ouvrir ce port 80 pour permettre le renouvellement de ce certificat lors de son échéance. Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 11 janvier 2023 Posté(e) le 11 janvier 2023 Il y a 3 heures, Bajoum a dit : Ca m'enchante pas tellement d'ouvrir ce port même si limité à la france. Tu peux utiliser le contrôle d'accès (VPN ou Local) sur les appli dont tu veux limiter l'accès. Ce qui t'obligera à te connecter en VPN de l'extérieur. Et en plus utiliser le HSTS (preloading) pour éviter les intrusions avant l'établissement du chiffrage. 0 Citer
Bajoum Posté(e) le 12 janvier 2023 Posté(e) le 12 janvier 2023 Il y a 12 heures, oracle7 a dit : @Bajoum Bonjour, Je plussoie à @_DR64_, et si en plus tu as un certificat Let'Encrypt, il te faudra bien alors aussi ouvrir ce port 80 pour permettre le renouvellement de ce certificat lors de son échéance. Cordialement oracle7😉 Non pas tout à fait car j'ai suivi ton tuto "Création d'un certificat "wildcard" Let's encrypt avec la methode "acme.sh". Je n'ai donc plus besoin de ce port 0 Citer
oracle7 Posté(e) le 12 janvier 2023 Posté(e) le 12 janvier 2023 @Bajoum Bonjour, Il y a 3 heures, Bajoum a dit : car j'ai suivi ton tuto "Création d'un certificat "wildcard" Let's encrypt avec la methode "acme.sh". Dans ce cas, d'accord ... mais comme tu n'en parlais pas, difficile de deviner, d'où ma réponse générique. Cordialement oracle7😉 0 Citer
j3r3m51 Posté(e) le 4 avril 2023 Posté(e) le 4 avril 2023 Le 20/02/2018 à 09:11, Kawamashi a dit : V. Configuration du portail des applications de DSM Il faut d'abord définir les ports HTTP qui seront utilisés par les applications auxquelles on veut accéder depuis l'extérieur. Pour ça, aller dans le panneau de configuration/Applications/Portail des applications/onglet "Application". NB : Il n'est pas nécessaire de définir un port HTTPS pour les applications vu que la connexion est déjà en HTTPS jusqu'au reverse proxy. En effet, il est inutile et contre-productif de doubler les chiffrements. Bonjour, De mon côté, j'ai toujours doublé les chiffrements en pointant vers les ports HTTPS des applications. J'ai fait l'essai en pointant sur les ports HTTP des applis, qui avaient été préalablement mis à jour dans l'onglet Applications (bascule de HTTPS vers HTTP, mais cela mène à des loads infinis des pages en question... ⁉️ 0 Citer
oracle7 Posté(e) le 4 avril 2023 Posté(e) le 4 avril 2023 @j3r3m51 Bonjour, Il y a 2 heures, j3r3m51 a dit : De mon côté, j'ai toujours doublé les chiffrements en pointant vers les ports HTTPS des applications. Tu sais que cela ralentit les échanges et en plus tu es sur ton réseau local donc quel intérêt à moins que tu n'ais des pirates en herbes sur celui-ci ? Il y a 2 heures, j3r3m51 a dit : bascule de HTTPS vers HTTP, mais cela mène à des loads infinis des pages en question... Si c'est vraiment le cas (loads infinis), tu serais bien avisé de revoir ta configuration de ton RP et de ton réseau local. Maintenant ce que j'en dit ... Au passage, quand on utilise le RP il ne faut pas activer dans le portail de connexion, la fonction qui redirige automatiquement les flux HTTP vers HTTPS pour le bureau DSM. C'est expliqué dans le tuto RP, cela casse les mécanismes du RP dans certains cas. D'où peut-être ces loads infinis ... Cordialement oracle7😉 1 Citer
j3r3m51 Posté(e) le 4 avril 2023 Posté(e) le 4 avril 2023 Bonjour @oracle7 et merci de prendre quelques instants pour me répondre. Il y a 9 heures, oracle7 a dit : Tu sais que cela ralentit les échanges et en plus tu es sur ton réseau local donc quel intérêt à moins que tu n'ais des pirates en herbes sur celui-ci ? Je ne l'avais pas fait volontairement, ça m'avait simplement semblé logique à l'époque. Effectivement, sans même savoir que ça ralentissait les échanges, je m'en étais bien rendu compte. Il y a 9 heures, oracle7 a dit : Au passage, quand on utilise le RP il ne faut pas activer dans le portail de connexion, la fonction qui redirige automatiquement les flux HTTP vers HTTPS pour le bureau DSM. C'est expliqué dans le tuto RP, cela casse les mécanismes du RP dans certains cas. D'où peut-être ces loads infinis ... J'étais passé à côté de cette info. My bad. Sur les tutos sécurité du NAS, il est indiqué de l'activer, je n'ai pas cherché plus loin... Après l'avoir désactivé, tout fonctionne parfaitement et plus rapidement ! Il y a 9 heures, oracle7 a dit : Si c'est vraiment le cas (loads infinis), tu serais bien avisé de revoir ta configuration de ton RP et de ton réseau local. Maintenant ce que j'en dit ... Du coup, puisque ça fonctionne après le tip précédent et que ma config locale n'a rien de particulier, pas besoin de vérifier tout ça 🙂 Merci encore et bien cordialement, Jérémy 0 Citer
oracle7 Posté(e) le 5 avril 2023 Posté(e) le 5 avril 2023 @j3r3m51 Bonjour, Il y a 11 heures, j3r3m51 a dit : Sur les tutos sécurité du NAS, il est indiqué de l'activer, je n'ai pas cherché plus loin... Tu es sûr de ton coup là ? car dans le TUTO Sécuriser les accès à son NAS ce n'est pas ce que je lis : Dans tous les cas, tant mieux si cela marche pour toi maintenant 😊 Cordialement oracle7😉 0 Citer
sebdepringy Posté(e) le 7 avril 2023 Posté(e) le 7 avril 2023 Bonjour, Sur DSM7 dans en-tête personnalisé, quelqu'un aurais la liste des headers fiable et surtout qui fonctionne ? J'en ai rentré quelque un mais j'ai un doute sur leurs fonctionnements Merci beaucoup 0 Citer
oracle7 Posté(e) le 7 avril 2023 Posté(e) le 7 avril 2023 @sebdepringy Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire surtout après 5 posts déjà ... il y a 20 minutes, sebdepringy a dit : quelqu'un aurais la liste des headers fiable et surtout qui fonctionne ? J'en ai rentré quelque un mais j'ai un doute sur leurs fonctionnements Cela dépend de l'application que tu veux atteindre via le RP. Certaines ont besoin de l'entête websocket d'autres de plus de paramètres et d'autres encore : rien. Pour mémoire : "En-tête personnalisé" sauf erreur de ma part, sert à passer des paramètres particuliers au serveur Web, notamment le Websocket pour certains types de communication utilisés par le serveur Web, afin que le Reverse Proxy puisse prendre en charge la fonction/protocole Websocket. Le protocole WebSocket est un protocole réseau basé sur le protocole TCP. Celui-ci définit la façon dont les données sont échangées entre les réseaux. En raison de sa fiabilité et de son efficacité, il est utilisé par presque tous les clients. TCP établit une connexion entre deux points finaux de communication qu’on appelle des sockets. Ainsi, une communication bidirectionnelle s’établit entre les données. Dans le cas d’une connexion bidirectionnelle comme avec le protocole WebSocket (parfois écrit web socket), les données circulent simultanément dans les deux sens. L’avantage : le chargement des données est beaucoup plus rapide. Dans le cas présent, je crains que tu ne joues à "l'apprenti sorcier" en introduisant ta liste d'entêtes personnalisés semble-t-il de façon systématique. Essaies déjà sans aucun entêtes, puis si tu rencontres des soucis, recherches la configuration du serveur web nginx (ou Apache selon) adaptée à ton application et là tu auras les bons entêtes à saisir. Cordialement oracle7😉 0 Citer
sebdepringy Posté(e) le 7 avril 2023 Posté(e) le 7 avril 2023 Bonjour, bizarre pour la présentation, je suis pas nouveau... ok je vais aller voir Pour les headers, on m'en imposes certains et il faut que j'arrive à les faires fonctionner, sur nginx "normal" on peut les mettres et pas ici, bizarre ! 0 Citer
.Shad. Posté(e) le 10 avril 2023 Posté(e) le 10 avril 2023 (modifié) @sebdepringy Tu peux vérifier que ça correspond à ce que tu veux dans un fichier de configuration Nginx, ça se trouve dans : /etc/nginx/sites-enabled/server.ReverseProxy.conf Par exemple j'ai créé une entrée bidon dans mon proxy inversé en ajoutant dans l'interface où tu as mis tes entêtes : X-Content-Type-Options nosnif Ca donne : server { listen 80; listen [::]:80; server_name toto.xxx.ovh ; if ( $host !~ "(^toto.xxx.ovh$)" ) { return 404; } proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; location / { proxy_connect_timeout 60; proxy_read_timeout 60; proxy_send_timeout 60; proxy_intercept_errors off; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_set_header X-Content-Type-Options nosnif; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://localhost:5124; } location ^~ /.well-known/acme-challenge { root /var/lib/letsencrypt; default_type text/plain; } error_page 403 404 500 502 503 504 /dsm_error_page; location /dsm_error_page { internal; root /usr/syno/share/nginx; rewrite (.*) /error.html break; allow all; } } Il apparaît bien dans la liste des entêtes. Modifié le 10 avril 2023 par .Shad. 0 Citer
TeddyLaFrite Posté(e) le 13 mai 2023 Posté(e) le 13 mai 2023 Le 14/03/2022 à 19:46, TeddyLaFrite a dit : Bien le bonjour, J'ai lu sur un autre poste que la MAJ du certificat SSL via LE pouvait se faire uniquement via le 443. Peut-on désormais fermer définitivement le 80 ? Merci à tous Salut Je me réponds à moi même pour les intéressés : ça fait plus d'un an que je n'ai que le 443 d'ouvert et les mises à jour du certificat via lets encrypt fonctionnent parfaitement 0 Citer
falcon7 Posté(e) le 30 juin 2023 Posté(e) le 30 juin 2023 Bonjour, Est-ce que le tuto est applicable à DSM 7.X. ? J'ai suivi le tuto et quand j'essaie d'accéder à un sous domaine, j'ai l'onglet du navigateur qui se recharge en boucle. Merci 0 Citer
Joshua33 Posté(e) le 30 juin 2023 Posté(e) le 30 juin 2023 @falcon7 je suis passé fraichement en DSM 7.2-64570 Update 1 et j'avais suivi ce tuto.. pas de soucis constaté. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.