Jeff777 Posté(e) le 16 août 2019 Posté(e) le 16 août 2019 (modifié) Bonjour Jules, Je crois me souvenir que le nombre de demandes de certificat est limité et si l'on excède ce nombre, un message d'erreur dit que le port 80 n'est pas ouvert. De mémoire c'est 5 demandes par semaine. Il faut donc attendre que la première des 5 dernières demandes date de plus d'une semaine. Modifié le 17 août 2019 par Jeff777 0 Citer
Jules Perrelet Posté(e) le 17 août 2019 Posté(e) le 17 août 2019 Bonjour @Jeff777 Je n'ai pas d'autres demandes, c'est la première que je fais, d'où ma question ! 0 Citer
Mic13710 Posté(e) le 17 août 2019 Posté(e) le 17 août 2019 Vos règles sont un peu folklo. Sur votre routeur, vous ouvrez le port 5000 (pas recommandé), mais vous ne l'autorisez pas dans le parefeu du NAS. La redirection ne sert donc à rien. Supprimez là, ou au pire utilisez au moins le 5001, bien que là non plus ce ne soit pas recommandé. Sur le parefeu, vous autorisez les 2 ports LE, c'est bien. Manque de pot, la règle juste avant autorise tous les accès au port 80. Il faut supprimer cette règle pour ne laisse que le 443. Que vient faire l'accès au terminal chiffré en tête des règles ? Je vois 2 choses qui peuvent générer le message à propos du port 80 : Un de vos ndd n'est pas valide ce qui bloque la création du certificat et provoque ce message ambigu Votre FAI ne vous donne pas accès au port 80. C'est le cas chez certains (Videotron par exemple au Canada) 0 Citer
Jules Perrelet Posté(e) le 19 août 2019 Posté(e) le 19 août 2019 Merci pour votre réponse @Mic13710 J'imagine que chaque configuration est un peu différente et unique (du à la configuration personnelle, et au FAI qui diffère entre chaque pays ; je suis chez Swisscom, en Suisse). Du coup, j'ai suivi les divers tutoriels liés à la sécurité ici, du mieux que j'ai pu. N'ayant aucune connaissance "métier", j'ai tenté de bidouiller les règles du port de mon routeur en piochant ça et là des infos. Je vais suivre vos recommandations et reviens vers vous ! Merci 0 Citer
Johnson Posté(e) le 20 août 2019 Posté(e) le 20 août 2019 Salut, J'ai réussi à mettre le serveur proxy en place, tous mes sous-domaines fonctionnent et sont accessibles en https. Toutefois, si un nouveau visiteur passait par là je souhaiterais qu'il soit redirigé en https lorsqu'il tape l'adresse web. Actuellement ça n'est pas le cas. Voici en gros ce que j'ai mis en place hormis la configuration de base du reverse proxy : Création d'un fichier .htaccess à la racine du dossier web qui contient le code suivant : Le 20/02/2018 à 09:11, Kawamashi a dit : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} ou celui-là : Le 13/11/2018 à 16:39, Spi a dit : RewriteEngine on RewriteCond %{HTTPS} !=on RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" En passant, je n'ai rien changé (même si au début je croyais qu'il y avait eu une faute de frappe dans "URI" contre "URL". Le texte cité ci-dessus a été placé tel quel dans le dossier partagé /web. Sinon, voici quelques paramètres principaux et autres informations probablement utiles : Le HSTS a été désactivé sur l'ensemble des sous-domaines. Dans les paramètres généraux de Web Station j'ai Apache HTTP Server 2.2 qui tourne et je suis sur PHP 5.6... Je ne sais pas si ça peu avoir une influence... Dans Web Station, rubrique "Virtual Host" il y a mon domaine "www.ndd.tld" Dans le panneau de configuration, Réseau, rubrique "Paramètres de DSM", la redirection automatique des connexions HTTP vers HTTPS sont désactivés. Dans le dossier /web il y a deux dossiers : wordpress et phpMyAdmin Comment faire en sorte que les requêtes http soient transférés en https ? N'hésitez pas à me demander s'il vous faut plus d'infos ou de captures d'écran. 0 Citer
Jeff777 Posté(e) le 21 août 2019 Posté(e) le 21 août 2019 Bonjour Johnson, Est-ce que le port 80 est autorisé dans le pare-feu du nas et la redirection faite dans la box ? 0 Citer
Superthx Posté(e) le 21 août 2019 Posté(e) le 21 août 2019 (modifié) Salut ! Je rencontre un problème sur mon reverse proxy. Et je but sèchement. mon NAS est sur l'ip 192.168.1.111. Tout les services comme portainer et autres services web fonctionne correctement. Exemple: https://test.ndd.com -> http://localhost:9000 Mais j'ai fait aussi des redirections pour un router et un hub. https://router.ndd.com -> http://192.168.1.1:8080 https://hub.ndd.com -> http://192.168.1.11 Et chaque fois que me connecte sur une ip qui est rediriger autre que le NAS (localhost=192.168.1.111) impossible de se connecter. Sous chrome c'est ERR_CONNECTION_REFUSED. Cela ne le fais que sur les DNS en vue LAN. Car en vue DNS WAN ben sa marche bien. Faisant nslookup router.ndd.com. J'ai bien mon ip public Faisant nslookup router.ndd.com 192.168.1.111 . J'ai bien mon ip local de mon router 192.168.1.1 Les reponse au ping de router.ndd.com est bien 192.168.1.1 Quelqu'un peut m’éclairer ? Merci d'avance. Modifié le 21 août 2019 par Superthx nslookup et ping 0 Citer
Johnson Posté(e) le 21 août 2019 Posté(e) le 21 août 2019 Il y a 10 heures, Jeff777 a dit : Bonjour Johnson, Est-ce que le port 80 est autorisé dans le pare-feu du nas et la redirection faite dans la box ? Bonjour, Oui le 80 et le 443 sont ouverts côté router. Pour le pare-feu du NAS le 443 est ouvert pour tous mais le 80 est ouvert seulement pour 2 IP, celles pour renouveler le certificat Let's Encrypt. 0 Citer
Jeff777 Posté(e) le 22 août 2019 Posté(e) le 22 août 2019 (modifié) Le 21/08/2019 à 21:10, Johnson a dit : le 80 est ouvert seulement pour 2 IP, celles pour renouveler le certificat Let's Encrypt. Pour rediriger les http en https il faut passer par le .htaccess du nas dossier web donc via le port 80. Il faut donc ouvrir ce port quelque soit l'origine de la demande (qq soit l'adresse IP). Si l'on ne veut pas ouvrir le port 80 alors les accès seront possibles uniquement en https. Personnellement j'ai ouvert le port 80 mais je l'ai limité à la France et quelques autres pays où j'ai de potentiels utilisateurs. Modifié le 23 août 2019 par Jeff777 0 Citer
Arian Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 Bonjour, Désolé en tout cas si la réponse est déjà présente mais je me perd entre les tutoriels et toutes les réponses associées pour solutionner mon problème malgré plusieurs tentatives... Je souhaiterais simplement accéder à DSM et aux applications depuis un domaine principal (ex: toto.bzh) et des sous-domaines (audio.toto.bzh, video.toto.bzh). J'ai pris un nom de domaine chez OVH tel que : J'ai redirigé les ports 80 et 443 sur ma bbox respectivement sur les ports 80 et 443 de mon Syno. J'ai ouvert les règles 80 et 443 dans les règles du firewall de mon Syno. J'ai initialisé les sous-domaines avec les alias et les ports dans le portail des applications : Mais lorsque je crée ma première règle de proxy inversé et que j'indique le sous-domaine, il m'indique que "le nom de domaine est déjà utilisé". Sauriez-vous me dire si tout ce que j'ai fait est OK et ce que je devrais faire ? Et la question d'après sera de savoir avec quelles adresses (domaine ou sous-domaine ?) je pourrai accéder aux applications (appli web ou appli android) ? (sans indiquer de port). Je souhaite aussi conserver un accès au bureau de DSM avec le nom de domaine principal. En vous remerciant à l'avance pour votre aide, Arian 0 Citer
unPixel Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 Bonjour, Citation J'ai initialisé les sous-domaines avec les alias et les ports dans le portail des applications : Normal vu que tu as mit les domaines dans ta première capture. Il ne faut mettre que les ports locaux et c'est tout. Citation Et la question d'après sera de savoir avec quelles adresses (domaine ou sous-domaine ?) je pourrai accéder aux applications (appli web ou appli android) ? (sans indiquer de port). Je souhaite aussi conserver un accès au bureau de DSM avec le nom de domaine principal. J'ai du mal à comprendre tes questions. Si je résume, tu as créé des domaines via des règles de reverse proxy. Tu devras donc utiliser ces domaines pour joindre tes services. Pour les applications sur smartphone, il te faudra par contre certainement préciser le port :443 après le domaine. Pour le domaine pour DSM, tu dois simplement créé un domaine qui sera redirigé sur le port local 5000. 0 Citer
Arian Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 (modifié) Merci @Zeus pour ton accueil et ta réponse rapide. Ok pour les ports sur appli. Par contre, je n'arrive pas à créer mon premier reverse proxy. Pour moi , il fallait que je crée ces reverse proxy : - HTTP / audio.toto.bzh / 80 vers HTTP / localhost / 8800 - HTTPS / audio.toto.bzh / 443 vers HTTPS / localhost / 8801 - HTTP / toto.bzh / 80 vers HTTP / localhost / 5000 - HTTPS / toto.bzh / 443 vers HTTPS / localhost / 5001 - .... Mais cela pose déjà problème pour la création du premier...(comme montré sur la capture d'écran). As-tu une idée du problème ? Merci Modifié le 7 septembre 2019 par Arian citation nom 0 Citer
unPixel Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 (modifié) Pourquoi passer par le port 80 ? Laisse tout sur le port 443 déjà. Tu ne fais pas de règles sur le port 80. Sur l'image ci-dessous, vire tous les ports https et les alias ainsi que les domaines ! Passe par l'onglet Proxy Inversé pour faire tes règles et suis le tuto. Modifié le 7 septembre 2019 par Zeus 0 Citer
Mic13710 Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 Il est aussi inutile et contre productif de faire du reverse proxy vers du https. HTTPS / audio.toto.bzh / 443 vers HTTPS / localhost / 8801 HTTP / localhost / 8800 0 Citer
unPixel Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 (modifié) On est bien d'accord 😉 Je parlais bien entendu des règle de reverse proxy sur le port 443 (l'autre onglet). Bref, suivre le tuto 🙄 Modifié le 7 septembre 2019 par Zeus 0 Citer
Arian Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 Super merci beaucoup ça fonctionne 😁 Mais c'est dommage de devoir indiquer le port sur les applis alors qu'il y a une case HTTPS...Aussi je pensais que grâce à l'alias, je pouvais éviter de rentrer toute l'adresse du sous-domaine et seulement le domaine. Tant pis je vais m'y faire. Par contre, malgré mon certificat à jour valable pour mon domaine et mes sous-domaines, je rencontre une erreur de certificat sur navigateur "ERR_CERT_AUTHORITY_INVALID". J'ai bien essayé depuis un accès extérieur. A quoi cela peut-il être dû ? Merci en tout cas 0 Citer
unPixel Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 Ouvre un autre sujet pour ce soucis, ça ne concerne pas ce tuto 😉 0 Citer
Arian Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 Okay je vais faire ça pour ce problème de certificat. Par contre je me posais la question pour accéder à PhotoStation et DS Photo. J'ai créé une règle de reverse proxy HTTPS / photo.toto.bzh / 443 -> HTTP / localhost / 80. Et j'essaie de me connecter sur l'appli DS Photot avec l'adresse photo.toto.bzh et coché la case HTTPS mais ça ne fonctionne pas. Aussi, impossible d'accéder à PhotoStation depuis DSM après m'être connecté en HTTPS à DSM (https://toto.bzh). Quelle est la démarche pour DSPhoto et PhotoStation ? Merci 0 Citer
unPixel Posté(e) le 7 septembre 2019 Posté(e) le 7 septembre 2019 En effet, si tu avais prit le temps de chercher un petit peu, tu aurais vu qu'il n'était pas possible de base de faire une règle de reverse proxy pour PhotoStation. Tu dois passer par https://ndd.tld/photo J'ai jamais essayé mais je sais qu'il existe une astuce en trafiquant un fichier htaccess. A toi de la trouver sur le forum car je ne sais plus ou c'est passé 😉 0 Citer
Jeff777 Posté(e) le 8 septembre 2019 Posté(e) le 8 septembre 2019 Bonjour, Pour htaccess : La commande suivante dans le .htaccess (en option les lignes 2 et 3 qui permettent la redirection du http en https si l’on utilise le port 80) : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} RewriteCond %{HTTP_HOST} ^photo.toto.bzh$ RewriteRule ^$ https://toto.bzh/photo [L,R=301] Faire un fichier texte, copier ces lignes et le renommer en .htaccess. Mettre ce fichier à la racine du dossier web. 0 Citer
unPixel Posté(e) le 8 septembre 2019 Posté(e) le 8 septembre 2019 Merci Jeff pour le rappel 😉 0 Citer
Johnson Posté(e) le 5 octobre 2019 Posté(e) le 5 octobre 2019 Merci pour le tuto. En trifouillant dans ma configuration je me suis aperçu qu'il y avait tout le nécessaire pour faire le lien entre le sous-domaine et l'application à mettre en lien dans le menu Portail des Application > Applications. Il y a t-il une raison particulière de passer dans l'onglet Reverse Proxy dans ce cas-là ? 0 Citer
Jeff777 Posté(e) le 5 octobre 2019 Posté(e) le 5 octobre 2019 Bonjour, le domaine personnalisé ne fonctionne qu'en local. Avec VPN serveur ça doit fonctionner. Sinon le principal intérêt du reverse proxy c'est de n'ouvrir qu'un seul port sur le nas (443 et à la limite 80 si on a une redirection http ==> https) le port http de l'appli n'est utilisé qu'en local grâce à lui.. Tout dépend de l'usage que l'on fait de son nas. Si l'on veut donner un accès à ces proches qui ne sont pas sur le réseau local c'est un peu compliqué de leur faire installer un client VPN 😊 Dans ce cas le reverse proxy est la solution Et si tu veux n'accéder à ton NAS que localement alors oui le domaine personnalisé ou l'alias sont à utiliser. 0 Citer
_Megalegomane_ Posté(e) le 5 octobre 2019 Posté(e) le 5 octobre 2019 Oui. Se passer des serveurs Synology et aussi gérer tout ce qui est en dehors des paquets Synology. PS: devancé par Jeff777 qui a beaucoup mieux détaillé que moi Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk 0 Citer
Jeff777 Posté(e) le 5 octobre 2019 Posté(e) le 5 octobre 2019 il y a 8 minutes, _Megalegomane_ a dit : beaucoup mieux détaillé que moi Sauf que je n'ai pas précisé les deux points de _Megalegomane_ qui sont aussi fondamentaux. Tu peux effectivement ajouter des enregistrements du reverse proxy qui ne sont pas des paquets Synology (des conteneurs docker ou des périphériques de ton réseau par exemple)🙂 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.