[Tuto] Reverse Proxy

[MilesTEG1]

il y a 44 minutes, Jeff777 a dit :

Merci  à tous les deux pour vos suggestions....maintenant si vous savez pourquoi ça ne marche que comme cela je suis preneur. 😉

Edit : petite précision dans le reverse proxy j'ai HSTS de coché (comme pour tous) et le profil d'accès configuré à local.

C'est peut-être le HSTS qui va pas...

Sinon, pourquoi tu t'embêtes avec un domaine pour accéder à ta freebox ? Chez moi mafreebox.freebox.fr ça fonctionne très bien depuis le LAN du RT2600...

[Jeff777]

il y a 30 minutes, MilesTEG1 a dit :

Sinon, pourquoi tu t'embêtes avec un domaine pour accéder à ta freebox ? Chez moi mafreebox.freebox.fr ça fonctionne très bien depuis le LAN du RT2600...

C'est pour le fun...sinon oui mafreebos.freebox.fr ça a toujours fonctionné !

[PiwiLAbruti]

Il y a 3 heures, MilesTEG1 a dit :

Sinon, pourquoi tu t'embêtes avec un domaine pour accéder à ta freebox ?

Pour avoir un accès externe filtré par un profil d'accès du reverse proxy.

[MilesTEG1]

Il y a 9 heures, PiwiLAbruti a dit :

Pour avoir un accès externe filtré par un profil d'accès du reverse proxy.

Ok mais le filtre d’accès c’est surtout pour filtrer les iP pas FR ?

pzs jsute laisser en accès que le lan et vpn ?

Modifié le 10 décembre 2022 par MilesTEG1

[Jeff777]

il y a 14 minutes, MilesTEG1 a dit :

Ok mais le filtre d’accès c’est surtout pour filter les iP pas FR ?

???

[MilesTEG1]

il y a 13 minutes, Jeff777 a dit :

???

C'est le profil de contrôle d'accès dont on parle. Qui permet de n'autoriser que certaines IP, comme celles des plages LAN, ou VPN.

Et en effet, me suis planté, la restriction de pays, c'est le pare-feu qui la gère 🙂

[PiwiLAbruti]

Il y a 2 heures, MilesTEG1 a dit :

pzs jsute laisser en accès que le lan et vpn ?

Pas besoin du VPN, c'est tellement restreint au niveau IP que ça ne craint aucune intrusion (ou alors quelqu'un qui m'en veut vraiment 😄).

L'avantage est aussi que j'utilise la même URL en interne qu'en externe.

[Jeff777]

Le 09/12/2022 à 16:22, Jeff777 a dit :

nouveau reverse proxy :  https://pop.ndd ==> http://host    et   entête personnalisé : host==> mafreebox.freebox.fr donne "Désolé, la page que vous recherchez est introuvable."

Ah j'ai trouvé.  https://pop.ndd ==> http://192.168.0.254   et   entête personnalisé : host==> mafreebox.freebox.fr

ça c'est bon. Je n'avais pas compris le rôle de l'en-tête . Bien que la solution avec le double https fonctionne aussi, je préfère celle-ci.

[Bajoum]

Bonjour,

Est ce que vous pouvez me confirmer que ce tuto (et surtout la partie redirection http vers https) ne fonctionne que si et seulement si le port 80 est ouvert sur la box et le pare-feu du NAS?

Ca m'enchante pas tellement d'ouvrir ce port même si limité à la france.

N'y a t'il pas un autre moyen de faire autre que par web station ?

Merci

[_DR64_]

oui il faut ton port 80 ouvert sinon il faut taper https dans ton adresse

[oracle7]

@Bajoum

Bonjour,

Je plussoie à @_DR64_, et si en plus tu as un certificat Let'Encrypt, il te faudra bien alors aussi ouvrir ce port 80 pour permettre le renouvellement de ce certificat lors de son échéance.

Cordialement

oracle7😉

[Jeff777]

Il y a 3 heures, Bajoum a dit :

Ca m'enchante pas tellement d'ouvrir ce port même si limité à la france.

Tu peux utiliser le contrôle d'accès (VPN ou Local) sur les appli dont tu veux limiter l'accès. Ce qui t'obligera à te connecter en VPN de l'extérieur. Et en plus utiliser le HSTS (preloading) pour éviter les intrusions avant l'établissement du chiffrage. 

[Bajoum]

Il y a 12 heures, oracle7 a dit :

@Bajoum

Bonjour,

Je plussoie à @_DR64_, et si en plus tu as un certificat Let'Encrypt, il te faudra bien alors aussi ouvrir ce port 80 pour permettre le renouvellement de ce certificat lors de son échéance.

Cordialement

oracle7😉

Non pas tout à fait car j'ai suivi ton tuto "Création d'un certificat "wildcard" Let's encrypt avec la methode "acme.sh".

Je n'ai donc plus besoin de ce port

[oracle7]

@Bajoum

Bonjour,

Il y a 3 heures, Bajoum a dit :

car j'ai suivi ton tuto "Création d'un certificat "wildcard" Let's encrypt avec la methode "acme.sh".

Dans ce cas, d'accord ... mais comme tu n'en parlais pas, difficile de deviner, d'où ma réponse générique.

Cordialement

oracle7😉

 

[j3r3m51]

Le 20/02/2018 à 09:11, Kawamashi a dit :

V. Configuration du portail des applications de DSM

Il faut d'abord définir les ports HTTP qui seront utilisés par les applications auxquelles on veut accéder depuis l'extérieur. Pour ça, aller dans le panneau de configuration/Applications/Portail des applications/onglet "Application".

NB : Il n'est pas nécessaire de définir un port HTTPS pour les applications vu que la connexion est déjà en HTTPS jusqu'au reverse proxy. En effet, il est inutile et contre-productif de doubler les chiffrements.

Bonjour,

De mon côté, j'ai toujours doublé les chiffrements en pointant vers les ports HTTPS des applications.

J'ai fait l'essai en pointant sur les ports HTTP des applis, qui avaient été préalablement mis à jour dans l'onglet Applications (bascule de HTTPS vers HTTP, mais cela mène à des loads infinis des pages en question...

⁉️

[oracle7]

@j3r3m51

Bonjour,

Il y a 2 heures, j3r3m51 a dit :

De mon côté, j'ai toujours doublé les chiffrements en pointant vers les ports HTTPS des applications.

Tu sais que cela ralentit les échanges et en plus tu es sur ton réseau local donc quel intérêt à moins que tu n'ais des pirates en herbes sur celui-ci ?

Il y a 2 heures, j3r3m51 a dit :

bascule de HTTPS vers HTTP, mais cela mène à des loads infinis des pages en question...

Si c'est vraiment le cas (loads infinis), tu serais bien avisé de revoir ta configuration de ton RP et de ton réseau local. Maintenant ce que j'en dit ...

Au passage, quand on utilise le RP il ne faut pas activer dans le portail de connexion, la fonction qui redirige automatiquement les flux HTTP vers HTTPS pour le bureau DSM. C'est expliqué dans le tuto RP, cela casse les mécanismes du RP dans certains cas. D'où peut-être ces loads infinis ...

Cordialement

oracle7😉

[j3r3m51]

Bonjour @oracle7 et merci de prendre quelques instants pour me répondre.

Il y a 9 heures, oracle7 a dit :

Tu sais que cela ralentit les échanges et en plus tu es sur ton réseau local donc quel intérêt à moins que tu n'ais des pirates en herbes sur celui-ci ?

Je ne l'avais pas fait volontairement, ça m'avait simplement semblé logique à l'époque.
Effectivement, sans même savoir que ça ralentissait les échanges, je m'en étais bien rendu compte.

Il y a 9 heures, oracle7 a dit :

 

Au passage, quand on utilise le RP il ne faut pas activer dans le portail de connexion, la fonction qui redirige automatiquement les flux HTTP vers HTTPS pour le bureau DSM. C'est expliqué dans le tuto RP, cela casse les mécanismes du RP dans certains cas. D'où peut-être ces loads infinis ...

J'étais passé à côté de cette info. My bad.
Sur les tutos sécurité du NAS, il est indiqué de l'activer, je n'ai pas cherché plus loin...
Après l'avoir désactivé, tout fonctionne parfaitement et plus rapidement !

Il y a 9 heures, oracle7 a dit :

Si c'est vraiment le cas (loads infinis), tu serais bien avisé de revoir ta configuration de ton RP et de ton réseau local. Maintenant ce que j'en dit ...

Du coup, puisque ça fonctionne après le tip précédent et que ma config locale n'a rien de particulier, pas besoin de vérifier tout ça 🙂

Merci encore et bien cordialement,
Jérémy

[oracle7]

@j3r3m51

Bonjour,

Il y a 11 heures, j3r3m51 a dit :

Sur les tutos sécurité du NAS, il est indiqué de l'activer, je n'ai pas cherché plus loin...

Tu es sûr de ton coup là ? car dans le TUTO Sécuriser les accès à son NAS ce n'est pas ce que je lis :

 

 

Dans tous les cas, tant mieux si cela marche pour toi maintenant 😊

Cordialement

oracle7😉

[sebdepringy]

Bonjour,

Sur DSM7 dans en-tête personnalisé, quelqu'un aurais la liste des headers fiable et surtout qui fonctionne ?

J'en ai rentré quelque un mais j'ai un doute sur leurs fonctionnements

Merci beaucoup

 

 

 

[oracle7]

@sebdepringy

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire surtout après 5 posts déjà ...

2. il y a 20 minutes, sebdepringy a dit :

   quelqu'un aurais la liste des headers fiable et surtout qui fonctionne ?

   J'en ai rentré quelque un mais j'ai un doute sur leurs fonctionnements

   Cela dépend de l'application que tu veux atteindre via le RP. Certaines ont besoin de l'entête websocket d'autres de plus de paramètres et d'autres encore : rien.

   Pour mémoire :

   "En-tête personnalisé" sauf erreur de ma part, sert à passer des paramètres particuliers au serveur Web, notamment le Websocket pour certains types de communication utilisés par le serveur Web, afin que le Reverse Proxy puisse prendre en charge la fonction/protocole Websocket.
   Le protocole WebSocket est un protocole réseau basé sur le protocole TCP. Celui-ci définit la façon dont les données sont échangées entre les réseaux. En raison de sa fiabilité et de son efficacité, il est utilisé par presque tous les clients. TCP établit une connexion entre deux points finaux de communication qu’on appelle des sockets. Ainsi, une communication bidirectionnelle s’établit entre les données.
   Dans le cas d’une connexion bidirectionnelle comme avec le protocole WebSocket (parfois écrit web socket), les données circulent simultanément dans les deux sens. L’avantage : le chargement des données est beaucoup plus rapide.
   
   Dans le cas présent, je crains que tu ne joues à "l'apprenti sorcier" en introduisant ta liste d'entêtes personnalisés semble-t-il de façon systématique. Essaies déjà sans aucun entêtes, puis si tu rencontres des soucis, recherches la configuration du serveur web nginx (ou Apache selon) adaptée à ton application et là tu auras les bons entêtes à saisir.

Cordialement

oracle7😉

[sebdepringy]

Bonjour, bizarre pour la présentation, je suis pas nouveau... ok je vais aller voir

Pour les headers, on m'en imposes certains et il faut que j'arrive à les faires fonctionner, sur nginx "normal" on peut les mettres et pas ici, bizarre !

 

[.Shad.]

@sebdepringy

Tu peux vérifier que ça correspond à ce que tu veux dans un fichier de configuration Nginx, ça se trouve dans :

/etc/nginx/sites-enabled/server.ReverseProxy.conf

Par exemple j'ai créé une entrée bidon dans mon proxy inversé en ajoutant dans l'interface où tu as mis tes entêtes :

X-Content-Type-Options                          nosnif

Ca donne :

server {
    listen 80;
    listen [::]:80;

    server_name toto.xxx.ovh ;

    if ( $host !~ "(^toto.xxx.ovh$)" ) { return 404; }

    proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

    location / {

        proxy_connect_timeout 60;

        proxy_read_timeout 60;

        proxy_send_timeout 60;

        proxy_intercept_errors off;

        proxy_http_version 1.1;

        proxy_set_header        Upgrade            $http_upgrade;

        proxy_set_header        Connection            $connection_upgrade;

        proxy_set_header        X-Content-Type-Options            nosnif;

        proxy_set_header        Host            $http_host;

        proxy_set_header        X-Real-IP            $remote_addr;

        proxy_set_header        X-Forwarded-For            $proxy_add_x_forwarded_for;

        proxy_set_header        X-Forwarded-Proto            $scheme;

        proxy_pass http://localhost:5124;

    }

    location ^~ /.well-known/acme-challenge {
        root /var/lib/letsencrypt;
        default_type text/plain;
    }

    error_page 403 404 500 502 503 504 /dsm_error_page;

    location /dsm_error_page {
        internal;
        root /usr/syno/share/nginx;
        rewrite (.*) /error.html break;
        allow all;
    }

}

Il apparaît bien dans la liste des entêtes.

Modifié le 10 avril 2023 par .Shad.

[TeddyLaFrite]

Le 14/03/2022 à 19:46, TeddyLaFrite a dit :

Bien le bonjour,

 

J'ai lu sur un autre poste que la MAJ du certificat SSL via LE pouvait se faire uniquement via le 443.

Peut-on désormais fermer définitivement le 80 ?

Merci à tous 

Salut

Je me réponds à moi même pour les intéressés : ça fait plus d'un an que je n'ai que le 443 d'ouvert et les mises à jour du certificat via lets encrypt fonctionnent parfaitement 

[falcon7]

Bonjour,

Est-ce que le tuto est applicable à DSM 7.X. ?

J'ai suivi le tuto et quand j'essaie d'accéder à un sous domaine, j'ai l'onglet du navigateur qui se recharge en boucle.

Merci

[Joshua33]

@falcon7

je suis passé fraichement en DSM 7.2-64570 Update 1 et j'avais suivi ce tuto.. pas de soucis constaté.