[Tuto] Reverse Proxy

[Jeff777]

Je serai curieux de connaître l'avis de @.Shad. qui a écrit dans son tuto sur la sécurité (DSM7), à propos de la redirection forcée http=>https dans l'interface DSM  :

REMARQUE : Ne pas activer cette option si vous utiliser un proxy inversé pour accéder à vos services DSM.

[CyberFr]

Il y a 2 heures, PiwiLAbruti a dit :

Au final, selon le navigateur utilisé le .htaccess peut être nécessaire. Pour ma part, j'ai banni ce protocole et fermé le port tcp/80.

Idem chez moi, j'ouvre le port 80 uniquement lors du renouvellement des certificats Let's Encrypt.

Il y a 2 heures, PiwiLAbruti a dit :

Je viens de voir que Firefox fait toujours ses requêtes en HTTP par défaut 🤦‍♂️. Il faut aller dans sur la page de configuration about:config et passer le paramètre dom.security.https_first à true pour que HTTPS soit utilisé par défaut.

Ou plus simplement de se rendre dans Préférences > Vie privée et sécurité et cocher mode "HTTPS uniquement". C'est moins geek mais tout aussi efficace 😀

[Mic13710]

@Jeff777 si tu veux, je te donne le mien.

Ce problème d'incompatibilité de cette option avec le reverse proxy existe depuis ... tout le temps et @.Shad. n'a fait que reprendre ce que Fenrir avait mentionné dans son tuto.

De ce que je comprends, obliger le nas à basculer en https interfère avec les règles de transfert https vers le port correspondant de l'application en http.

Par exemple, une entrée https://nas.ndd qui est transférée vers le localhost:5000 (DSM) est contrecarrée par l'obligation de passer en https (donc 5001). Le transfert ne peut pas aboutir.

Ceci dit, il est possible que Syno aient revu leur copie et que ce dysfonctionnement ait été corrigé dans les dernières versions de DSM. Je n'ai pas essayé et je n'ai pas l'intention de le faire car je ne vois pas d'intérêt pour mon usage de forcer le https en interne (je n'ai pas de http ouvert vers internet).

[PiwiLAbruti]

Que je choisis "Activer le mode HTTPS uniquement dans toutes les fenêtres", le paramètre dom.security.https_first reste à false 🤔

Bref, je n'utilise pas Firefox, et l'important est que ça fonctionne.

----

Pour ceux qui veulent en savoir plus, tout est expliqué ici :

https://support.mozilla.org/fr/kb/mode-https-uniquement-dans-firefox

Dommage que ce ne soit pas activé par défaut sur Firefox.

Modifié le 12 juin 2024 par PiwiLAbruti

[alan.dub]

Bien le bonjour tout le monde,

Aujourd'hui (pour je ne sais quelle raison) j'ai vérifié les ports des app synology sur leur site web.

Et... j'ai remarqué que maintenant la quasi totalité des services passaient par le port de DSM (5000 / 5001) 🫤

https://kb.synology.com/fr-fr/DSM/tutorial/What_network_ports_are_used_by_Synology_services

Pour info, mes services n'utilisent pas du tout ces ports mais ceux-ci :

Disk Station : disk.ndd.tld : 5000

Synology Calendar : cal.ndd.tld : 20002
Synology Contacts : card.ndd.tld : 25555

Synology Drive : drive.ndd.tld : 10002
Synology Photos : photo.ndd.tld : 5080
Synology Chat : chat.ndd.tld : 20000

DS / File Station : file.ndd.tld : 7000
DS / Audio Station : music.ndd.tld : 8800
Download Station : down.ndd.tld : 8000
WebDAV Server : web.ndd.tld : 5005
 

Malheureusement je ne retrouve pas les pages reprenant les anciens ports (ou alors il y a un truc que je ne comprend pas).

Voir mes captures ICI, ICI et ICI ^^

Dois-je tout (enfin ceux concernés) basculer en 5000 ? Comprends pas tout là 😅

Modifié le 13 juin 2024 par alan.dub

[.Shad.]

@Jeff777 @Mic13710 Comme l'a dit @CoolRaoul, cette redirection s'applique à DSM et aux applications natives faisant l'objet d'un alias personnalisé. Le reverse proxy reste nécessaire pour des applications non natives. Il n'y a pas vraiment de différence, c'est la façon dont les blocs server et location sont créés qui diffère légèrement de l'un à l'autre.

Je pense qu'on peut laisser la remarque telle qu'elle, ça évitera des questionnements inutiles par la suite concernant le pourquoi du je n'arrive pas à me connecter à DSM en HTTPS.

Modifié le 13 juin 2024 par .Shad.

[CyberFr]

Il y a 14 heures, alan.dub a dit :

Pour info, mes services n'utilisent pas du tout ces ports mais ceux-ci :

Dés lors que tu as fixé manuellement les ports utilisés par les applications dans le Portail de connexion puis dans les divers reverse proxy, il n'y a aucun changement même si Synology leur a attribué par la suite des ports différents.

Il y a 14 heures, alan.dub a dit :

Dois-je tout (enfin ceux concernés) basculer en 5000 ? Comprends pas tout là 😅

Je n'ai rien changé sur mon NAS et tout fonctionne correctement.

[alan.dub]

Tout fonctionne aussi de mon côté. 
Là dessus pas de problème.

Autres points, sur Synology Contacts et Synology Calendrier, les adresses de connexion proposées ne passent plus par les adresses indiquées dans mon reverse proxy, mais par l’adresse du DSM indiqué sur le reverse proxy (disk.ndd.tld au lieu de card.ndd.tld et cal.ndd.tld).

Malgré cela… ça fonctionne quand même ^^

Il fait que je regarde tout ça. 

Modifié le 14 juin 2024 par alan.dub

[CyberFr]

il y a 26 minutes, alan.dub a dit :

Autres points, sur Synology Contacts et Synology Calendrier, les adresses de connexion proposées ne passent plus par les adresses indiquées dans mon reverse proxy, mais par l’adresse du DSM indiqué sur le reverse proxy (disk.ndd.tld au lieu de card.ndd.tld et cal.ndd.tld).

Pas chez moi. Peut-être un problème au niveau de la définition des reverse proxy. Si tu utilises DNS Server, il faut également renseigner les zones CNAME.

[alan.dub]

C'est fait depuis longtemps.

Mais chose "amusante", avant Synology Calendrier et Contacts donnaient bien :

- cal.ndd.tld...

- card.ndd.tld...

Mes deux iPhones et Macbook sont renseignés ainsi et fonctionnent parfaitement.

D'ailleurs avant ces app Synology proposaient aussi deux adresse différentes suivant si c'était pour macOS ou iOS : mais plus maintenant.

Par exemple, pour l'app Calendrier sous iOS c'était :

https://cal.ndd.tld/caldav.php/user

La grande question c'est : pourquoi maintenant ces deux app Synology proposent le disk.ndd.tld (normalement utilisé pour accéder à mon DMS) au lieu des deux autres cal.ndd.tld /card.ndd.tld ^^

Je vais regarder ça.

[alan.dub]

Bon, j'ai testé en utilisant les ports indiqués sur la page de Synology et comme prévu, chaque *.ndd.tld envoi sur DSM (port 5000 donc, port utilisé sur mon disk.ndd.tld pour accéder à mon DSM) 😅

https://kb.synology.com/fr-fr/DSM/tutorial/What_network_ports_are_used_by_Synology_services

J'ai donc tout remis comme c'était, en utilisant les port indiqués en "gris" dans les cellules HTTP de chaque application : ICI

Me reste à voir cette histoire de disk.ndd.tld que Synology Calendrier et Contacts utilisent maintenant.

EDIT : Trouvé 😅

Si je passe par la page de DSM pour ouvrir Synology Calendrier / Contacts, l'adresse pour les app macOS / iOS indique disk.ndd.tld

Mais si je passe directement par la page cal.ndd.tld, l'adresse pour les app macOS / iOS indique cal.ndd.tld (idem pour disk.ndd.tld versus card.ndd.tld.

En gros, tout va bien en faite... je file me recoucher pour quelques jours 😅

 

[miniil]

Bonjour,

Quelqu'un peut m'aider? J'ai suivi toutes les étapes du tuto sauf la dernière qui est de rediriger sous.domaine.xx vers https en plaçant le fichier .htaccess 

Si je mets un fichier .htaccess apparemment il y a trop de redirection (boucle infinie) mais soit mes problèmes sont d'abord les suivants :

1. J'ai essayé pour l'application  File Station sur un port http 45002 avec un reverse proxy https://fiches.domaine.xx:443 redirigé vers http://localhost:45002...  Ca tourne, ça tourne et puis ERR_CONNECTION_REFUSED

2. Pour un autre site web personnel (PHP) hébergé sur mon nas je crée le Web Portal et lui assigne un port en HTTP, pareil, reverse proxy https://xxx.domaine.xx:443 vers http://localhost:monport
Puis création du certificat que j'assigne à ce sous-site.  Là j'arrive a y accéder mais j'ai toujours l'avertissement "Non Sécurisé".

Donc, pourquoi mon reverse proxy ne fonctionne pas pour l'application File Station, et pourquoi ça fonction pour mon sous domaine mais avertissement 🙂

Merci de votre aide.
 

[firlin]

Bonjour, 
J'aurais voulu savoir comment on gère deux Nas sur un même réseau, avec lesquels on vaudrait avoir accès depuis l'extérieur en utilisant le reverse Proxy.
En clair j'ai déjà un 1er nas avec certaines applications sur lequel il y a un reverse proxy, qui me permet d'y accéder depuis extérieur entre autre.
Je vais rajouter un autre nas pour gère des cameras avec l'applications Surveillance Station et je vaudrai passer par mon non de domaine pour l'application DSCam en lieu et place du quick id de synology.

s'il faut je me prends la tête pour rien 🙂

[Mic13710]

Donner un nom de domaine pour surveillance station du deuxième NAS (cam2.ndd par exemple) et dans le reverse proxy, faire pointer ce ndd vers l'IP du NAS et le port de surveillance station.

On peut faire ça pour d'autres applications ou pour atteindre DSM. Il suffit de rajouter des ndd et de les faire pointer vers les ports correspondants du deuxième NAS.

Tu peux aussi utiliser CMS sur Surveillance Station du premier NAS pour te connecter à surveillance station du deuxième.

[lia9]

Bonjour,

Après des heures à essayer de trouver une solution (en explorant ce forum et autres) j'aurais besoin d'aide pour pouvoir accéder de nouveau à mes photos stockées sur mon NAS à partir de mon iphone.

Il y a 5 ans j'ai suivi le tuto sur la sécurité et  ce tuto sur le reverse proxy (pour photo, audio et video). Cela a marché parfaitement. J'ai ensuite déménagé et puis  il  y a eu l'update de DSM  7 en même temps. Après quelques problèmes j'ai tout remis en place et je peux de nouveau accéder aux applications  audio et vidéo sur mon téléphone. Mais impossible de faire fonctionner Photo. Je n'arrive pas à comprendre  où est le problème.

- le certificat  let's encrypt couvre tous les sous domaines et est à jours

- j'ai suivi les mêmes instructions pour configurer l'application photo sur le portail de connexion et pour installer un reverse proxy pour photo

quand je tape audio.ndd.fr sur une page internet et quand j'ouvre DS audio avec audio.ndd.fr:443 tout fonctionne bien.

Mais avec photo, si je tape photo.ndd.fr (ou photo.ndd.fr/photo) je tombe sur une page synology "la page est introuvable". Sur DS photo quand j'utilise photo.ndd.fr:443 (j'ai aussi essayé sans 443), il y a un message d'erreur "echec de connexion. vérifiez si l'adresse IP est correcte ou si Photo Station  a été correctement installé".

Photo station n'est plus disponible. Est ce que je dois utiliser du coup synology photo sur mon iphone plutôt que DS photo?

J'ai essayé avec synologie photo sur iphone et j'ai de toute façon le même problème (mais pas de référence à photo station par contre) "impossible de se connecter au serveur. veuillez verifier l'adresse IP et la connexion réseau. Nous vous recommandons  d'utiliser quickconnect"

Ca n'explique pas pour quoi quand je tape photo.ndd.fr sur une page internet, je ne suis pas redirigée vers photo.

 

Merci d'avance

Cordialement

Lia

[Jeff777]

il y a 9 minutes, lia9 a dit :

J'ai ensuite déménagé

bonjour,

Est-ce que la nouvelle adresse IP est full-stack? 

[lia9]

non j'ai une IP dynamique. Mais  j'ai bien vérifié  et mon adress IP ne change pas et tout fonctionne bien avec audio et video. Est ce qu'il y aurait une raison pour que l'IP dynamique affecte photo et pas les autres applications? j'ai aussi essayé avec le service DDNS et c'est le même problème.

[PiwiLAbruti]

il y a 28 minutes, lia9 a dit :

J'ai ensuite déménagé et puis  il  y a eu l'update de DSM  7 en même temps.

il y a 24 minutes, lia9 a dit :

"echec de connexion. vérifiez si l'adresse IP est correcte ou si Photo Station  a été correctement installé".

Photo Station n'est pas compatible avec DSM 7, et a été remplacé par Synology Photos.

Il faut également utiliser l'application Synology Photos en remplacement de DS photo sur iOS.

[Nicodeme]

Bonjour,

Je suis novice dans l'utilisation Synology telle que présentée dans le tuto de la FP, je préfère prévenir.

Sur le NAS, j'ai une base de données MySQL pour une centralisation Kodi. Donc j'ai un phpMyAdmin déployé et qui me sert de temps en temps pour des visualisations BDD en direct.

J'ai installé un container calibre-web ce weekend. Pour y accéder, mes utilisateurs sont obligés de taper 192.168.x.x:8083.

Lors de l'installation du container et le premier accès à calibre-web, j'ai un peu merdouillé et j'ai activé 'Configurer le portail Web via Web Station' en pensant que ça publierait l'application dans le menu 'Portail de connexion' du NAS. La boulette.

Le NAS m'a ouvert Web Station, j'ai vu un 'Etat du serveur par défaut' à 'Anormal', j'ai cliqué dessus, j'ai attribué une valeur (Apache ou Nginx, je ne sais plus), j'ai validé et l'état du serveur est passé à 'Normal'.
J'ai accédé au Portail de connexion, bien sûr je n'ai pas retrouvé calibre-web dedans (puisque c'est réservé aux packages Synology, maintenant je le sais…). Donc j'ai accédé à calibre-web en tapant l'URL 192.168.x.x:8083.

Bien, ça fonctionne mais ça ne me satisfaisait pas. Je souhaitais que les utilisateurs puissent accéder à l'application en saisissant quelque chose comme alias.ndd.xyz, sans avoir besoin de spécifier un port.
Je me suis renseigné, j'ai lu que je pouvais passer par un DDNS pour obtenir un nom de domaine, mais ça ne m'intéresse pas. Le NAS est et restera en local, aucune envie de l'ouvrir à l'extérieur. Et pas envie non plus d'avoir un ndd à rallonge.

Donc je me suis lancé dans l'installation d'un serveur DNS en suivant un tuto. J'ai paramétré la résolution en pointant vers des serveurs DNS externe. J'ai déclaré mon ndd.xyz, en le limitant uniquement aux IPs internes. J'ai paramétré une nouvelle ressource dans la zone sous la forme alias.ndd.xyz qui renvoie vers 192.168.x.x. J'ai paramétré mon routeur pour qu'il utilise comme serveur DNS mon NAS (et un DNS externe, au cas où). J'ai fait une requête nslookup alias.ndd.xyz qui me renvoie bien comme résultat 192.168.x.x.

Je passe donc ensuite sur le proxy inversé, pour paramétrer que l'URL http://alias.ndd.xyz:80 doit renvoyer vers http://alias.ndd.xyz:8083. Comme ça, l'utilisateur tape juste l'URL (sans http ni le port) et le proxy se charge de renvoyer vers l'application, avec le bon port.

Ca, c'est dans la théorie. En pratique, je merdouille.

- Quand je tape alias.ndd.eck, le navigateur me renvoie sur une page Google - Aucun document ne correspond à la recherche.
- Quand je tape http://alias.ndd.eck, le navigateur m'envoie sur une page Synology / Web Station : 'Web Station a été activé. Pour terminer de configurer votre site web, consultez la section "Service Web" dans l'aide de DSM.'
- Quand je tape http://alias.ndd.eck:8083, le navigateur m'envoie bien sur l'application calibre-web.

Je me doute que c'est Web Station qui pose le problème, du coup je cherche, je cherche.

J'ai désinstallé le package (et donc Apache et phpMyAdmin par la même occasion), nada. J'obtiens les mêmes résultats. Même la page 'Web Station a été activée. blablabla'.

J'ai lu dans la KB Synology qu'à l'activation du portail par défaut de Web Station, Les URLs du portail Web par défaut sont aux formats suivants :

http://adresse IP de votre NAS:80
http://nom de domaine de votre NAS:80
https://adresse IP de votre NAS:443
https://nom de domaine de votre NAS:443

donc si je comprends bien, Web Station "s'approprie" ces URLs en interne et les utilise, quoi qu'il arrive.

Au cours de mes recherches, je suis tombé sur ce post. J'ai parcouru le tutoriel. Et j'ai surtout vu qu'il y avait encore des contributions à ce jour sur ce thread. Aussi je me permets de poster pour poser mes questions :
- Comment désactiver Web Station tout en continuant à utiliser phpMyAdmin (l'utilisation que j'en avais avant), en espérant que cela lui fasse lâcher les URLs mentionnées ci-dessus ?
- Au pire, si je ne peux plus récupérer ces URLs, comment configurer Web Station pour qu'il me renvoie sur une page que je peux administrer (je me dis qu'au pire, je peux faire une page avec les liens des services sur le NAS pour que les utilisateurs n'aient plus qu'une URL en raccourci, et qu'à partir de cette page ils puissent accéder aux autres applications) ?
- Et si il est possible de récupérer les URLs, est-ce qu'il y a quelque à faire côté proxy inversé que je n'aurai pas fait correctement pour que la saisie d'alias.ndd.xyz renvoie bien l'utilisateur sur http://alias.ndd.xyz:8083 ?

Merci par avance à ceux qui voudront bien prendre le temps de lire et de me répondre.

Modifié le 4 février par Nicodeme

[lia9]

Il y a 22 heures, PiwiLAbruti a dit :

Photo Station n'est pas compatible avec DSM 7, et a été remplacé par Synology Photos.

Il faut également utiliser l'application Synology Photos en remplacement de DS photo sur iOS.

Merci pour ta réponse. J'ai le même problème avec Synology photos sur Iphone par contre.

[PiwiLAbruti]

Il faut vérifier la chaîne de connexion étape par étape, en reprenant le tutoriel si besoin.

Est-ce que Synology Photos fonctionne en local via un navigateur sur un PC fixe/portable ?

[lia9]

Le 04/02/2025 à 3:28 PM, PiwiLAbruti a dit :

Il faut vérifier la chaîne de connexion étape par étape, en reprenant le tutoriel si besoin.

Est-ce que Synology Photos fonctionne en local via un navigateur sur un PC fixe/portable ?

j'ai refais 3 fois le tutoriel. Synologie Photos fonctionne en local sur mon mac portable. tout fonctionne bien avec les apps video et audio. Le seul problème c'est photos

[PiwiLAbruti]

Si ça fonctionne depuis un laptop, c'est que la configuration du NAS est bonne.

Sur mobile, la seule différence est qu'il faut préciser le port 443 (5000/5001 par défaut, avec/sans chiffrement).

• Est-ce que le blocage IP est activé ? Est-ce que des adresses IP locales (appartenant au réseau 192.168.*.*) y sont listées ? Si oui, il faut les retirer.
• Quelle est l'adresse IP résolue par le nom photo.ndd.fr ? (résultat de la commande: nslookup photo.ndd.fr)

[lia9]

Il y a 3 heures, PiwiLAbruti a dit :

Si ça fonctionne depuis un laptop, c'est que la configuration du NAS est bonne.

Sur mobile, la seule différence est qu'il faut préciser le port 443 (5000/5001 par défaut, avec/sans chiffrement).

• Est-ce que le blocage IP est activé ? Est-ce que des adresses IP locales (appartenant au réseau 192.168.*.*) y sont listées ? Si oui, il faut les retirer.
• Quelle est l'adresse IP résolue par le nom photo.ndd.fr ? (résultat de la commande: nslookup photo.ndd.fr)

Désolé ce n'était pas clair dans mon dernier message. Quand je tape photo.ndd.fr sur mon laptop je tombe sur une page synology "la page est introuvable". Sur l'iphone quand j'utilise l'application synology photo avec photo.ndd.fr:443 (j'ai aussi essayé sans 443), il y a un message d'erreur "impossible de se connecter au serveur. veuillez verifier l'adresse IP et la connexion réseau. Nous vous recommandons  d'utiliser quickconnect".

Par contre ça fonctionne parfaitement avec audio et video (sur le laptop et sur l'iphone). Le problème est uniquement sur Photo (laptop et iphone) mais je ne vois pas d'où ça vient car j'ai suivi exactement les mêmes étapes que pour audio et video.

Est-ce que le blocage IP est activé ? Est-ce que des adresses IP locales (appartenant au réseau 192.168.*.*) y sont listées ? Si oui, il faut les retirer: dans mes règles de pare-feux, ma première règle est d'autoriser les addresses IP locales (comme dans le tutoriel sur la sécurité).

Quelle est l'adresse IP résolue par le nom photo.ndd.fr ? (résultat de la commande: nslookup photo.ndd.fr): désolé je ne comprend pas cette partie.

 

Merci

 

[PiwiLAbruti]

Il s'agit d'une commande à entrer dans l'application Terminal du MAC :

nslookup photo.ndd.fr

Il y a donc bien un souci avec la configuration du reverse proxy. Sans plus d'éléments, je ne pourrais pas plus t'aider.