Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Le 27/04/2018 à 19:51, alcyon a dit :

Bonjour,

Petite remarque concernant les redirections des services source en HTTPS vers leur destination en HTTP. 

Pas de problème sur les applis Synology (note, drive, etc).

Néanmoins, avec les navigateurs récent, la résolution est bloqué avec une jolie erreur ERR_TOO_MANY_REDIRECTS ... je n'ai pas trouvé de solution pour le moment.

Donc pour le moment je garde le reverse proxy en redirigeant les HTTPS => HTTPS ...

Donc si  @Mic13710 et toi @Kawamashi avait une solution je suis preneur 🙂

Bon week-end.

Je rencontre exactement ce souci , @alcyon as-tu trouvé une solution, ou l'origine du problème ?

Lien vers le commentaire
Partager sur d’autres sites

Je pense que le problème vient de la redirection http vers https.

Si le https est redirigé par le reverse proxy vers un port http, avec la redirection activée il y a à nouveau une redirection http vers https. Peut-être que certains navigateurs le refusent à cause de la double certification.

Je n'ai pas ce genre de problème car je n'ai pas activé la redirection http vers https.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir à tous 😉,

Alors, comme indiqué dans ma présentation, après avoir suivi le tuto de Zeus"Débuter avec un NAS Synology", puis le tuto de @unPixel  Pourquoi-et-comment-utiliser-un-nom-de-domaine ..... me voici ici!

J'ai hâte que tout soit fini mais j'essaye de ne pas brûler les étapes 😅, dans touts les cas je suis toujours aussi blonde et je découvre un monde qui m'est totalement étranger , alors ne m'en voulez pas pour mes questions. Après avoir parcouru 14 pages de réponses sur ce tuto de "reverse proxy" j'abandonne pour trouver MA réponse toute seule, je me rends compte que je ne comprends pas le langage commun et surtout je me rends bien compte que les problèmes sont spécifiques à chaque installation et quelle misère pour vous .... tout est vraiment très personnel au niveau des demandes.

Mes questions vont malgré tout rester simples 😀 enfin d'après tout ce que j'ai pu lire ....

 

Alors, concernant la partie "V. Configuration du portail des applications de DSM":

  • "Ports HTTP définits":
  • image.thumb.png.ca98fcb7772610f3109a2739c6a66733.png
  •  
  • "Après cette étape, si on tape IP_locale_du_NAS:45000, on ouvre directement Audio Station"  ==> ça fonctionne

 

  • "Définir le reverse proxy à proprement parler, à savoir faire correspondre les différents sous-domaines avec les différentes applications"   
  • image.thumb.png.b77bf92a7ad943f7d68af55da514b3b6.png

 

  • tous renseignés comme  ça

image.thumb.png.9b719b440115ca3ac04102ba364f015b.png

 

  • "Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre:"

 

  • voilà par contre ce que j'obtiens ....

image.png.075caa0edf4d3597b5d2a4416930fb48.png

 

Alors du coup je n'ose pas passer à l'étape:

  • "VI. Obtention du certificat SSL pour le domaine et ses sous-domaines"

Bref avant d'aller plus loin j'imagine que j'ai du faire un erreur quelque part mais où? j'ai recommencé plusieurs fois les étapes avec le même résultat 😓

 

Merci d'avance pour votre aide ...

 

image.png

image.png

image.png

Modifié par Taolinou
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Citation

Alors, comme indiqué dans ma présentation, après avoir suivi le tuto de Zeus"Débuter avec un NAS Synology", puis le tuto de @unPixel

Nous sommes la même personne 😂

Citation
  • "Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre:"

Tu as un certificat SSL Let's Encrypt ou d'une autre autorité faisant foi et étant accepté par ton navigateur ?

Ahhh, en lisant la suite, je vois que tu t'es arrêté avant cette étape.

Par contre, je vois peut-être un soucis. Tu parles de domaine type : https://music.ndd.tld or je vois plutôt quelque chose comme : https://music.xxx.ndd.tld

Qu'en est-il réellement ?

Si tu le souhaites, tu peux m'envoyer une capture d'écran en clair avec tes domaines en MP que je vois si soucis ou pas.

Modifié par unPixel
Lien vers le commentaire
Partager sur d’autres sites

Salut à nouveau.

Je reviens avec mon problème. Car j'ai pas de réponse.

J'utilise openvpn.

Pour ce qui est du reverse proxy c'est galère.

Mon NAS avec Reverse proxy est sur 192.168.1.111

Dans mes DNS Server de chaque côter c'est comme ceci.

 

ns1.ndd.com 192.168.1.111(NAS Réseau 1)

ns2.ndd.com 192.168.0.1(Router Réseau2)

router.ndd.com 192.168.1.1(Router Réseau 1 - Serveur VPN)

maison.ndd.com (Router Réseau 2 - Client VPN)

nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 1)

nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 2)

Jusqu'ici pas de problème. Depuis l'extérieur de ces 2 réseaux. Les gens ce connectent.

Mais c'est sur les 2 réseaux en local ou sa foire méchant.

Si depuis Reseau 1 ou 2 je veux me connecter sur router.ndd.com 192.168.1.1, j'ai une erreur 443. 

curl -v https://router.ndd.com

* Failed to connect to router.ndd.com port 443: Connection refused

curl: (7) Failed to connect to router.ndd.com port 443: Connection refused

nslookup router.ndd.com ne me donne correctement l'adresse.

 

nslookup router.ndd.com 192.168.1.111

Server:    192.168.1.111

Address 1: 192.168.1.111

Name:      router.ndd.com

Address 1: 192.168.1.1

 

nslookup router.ndd.com 192.168.0.1

Server:    192.168.0.1

Address 1: 192.168.0.1

Name:      router.ndd.com

Address 1: 192.168.1.1

La seul solution pour que cela puisse fonctionner correctement c'est modifier toutes les ip que n'ont pas de services sur 192.168.1.111 dans les DNS SERVER.

exemple :

router.ndd.com 192.168.1.111(l'ip réel est 192.168.1.1)

hub.ndd.com 192.168.1.111(l'ip réel est 192.168.1.11)

camera.ndd.com 192.168.1.111(l'ip réel est 192.168.1.101)

nas.ndd.com 192.168.1.111

download.ndd.com 192.168.1.111

localhost.ndd.com 192.168.1.111

Donc qu'est-ce qui me*de en local pour avoir cette erreur 443?

Merci......

 

 

 

Modifié par Superthx
corrrection nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 1)
Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, Superthx a dit :

nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 1)

nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 1)

Pourquoi deux fois le même enregistrement ?

Sinon pour le problème avec ton routeur en l'état avec tes explications je ne vois pas de rapport avec le proxy inversé. Tu définis un enregistrement de type A pointant router.ndd.com vers l'IP de ton routeur (réseau 1). Si ton routeur expose son interface d'administration sur le port 443, que le domaine/sous-domaine est bien enregistré auprès de Let's Encrypt ça devrait marcher.

SI c'est par proxy inversé que tu veux y accéder, alors c'est différent.
Tu veux d'une part que ton routeur soit accessible aux autres périphériques, via son nom de domaine, donc tu gardes ton enregistrement de type A router.ndd.com -> 192.168.1.1
Ça c'est simplement ton DNS local qui l'impose, le proxy inversé n'intervient pas.
Au delà de ça, tu veux qu'un service qu'il expose, j'imagine son interface d'administration, soit accessible via le proxy inversé.
Dans ce cas-là il faut que la requête soit redirigée vers le proxy inversé, tu le fais au moyen d'un enregistrement CNAME router.ndd.com -> ns1.ndd.com, c'est ensuite le proxy inversé qui va rediriger de manière transparente vers 192.168.1.1:80 (80 par exemple, il s'agit du port HTTP sur lequel est exposé la webUI du routeur).

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, shadowking a dit :

Pourquoi deux fois le même enregistrement ?

erreur, c'est nas.ndd.com CNAME ns1.ndd.com(NAS Réseau 2)

il y a une heure, shadowking a dit :

Si ton routeur expose son interface d'administration sur le port 443, que le domaine/sous-domaine est bien enregistré auprès de Let's Encrypt ça devrait marcher.

Oui. Cela marche correctement.

il y a une heure, shadowking a dit :

Tu veux d'une part que ton routeur soit accessible aux autres périphériques, via son nom de domaine, donc tu gardes ton enregistrement de type A router.ndd.com -> 192.168.1.1

Oui c'est logique. C'est mieux pour trouver ses appareils.

il y a une heure, shadowking a dit :

Au delà de ça, tu veux qu'un service qu'il expose, j'imagine son interface d'administration, soit accessible via le proxy inversé.
Dans ce cas-là il faut que la requête soit redirigée vers le proxy inversé, tu le fais au moyen d'un enregistrement CNAME router.ndd.com -> ns1.ndd.com, c'est ensuite le proxy inversé qui va rediriger de manière transparente vers 192.168.1.1:80 (80 par exemple, il s'agit du port HTTP sur lequel est exposé la webUI du routeur).

Alors c'est lá que je comprends pas......

si j'ai comme enregistrement:

router.ndd.com A 192.168.1.1

impossible d'ajouter dans la zone DNS

router.ndd.com CNAME ns1.ndd.com

J'ai une erreur le FQDN de CNAME et d'autres enregistrements ne peuvent pas etre identiques.

Donc ou je choisi de rediriger sur router.ndd.com sur son ip reel et je le retrouve sur le reseau (ping, etc...) ou j'oublie et je met sur 192.168.1.111 pour avoir acces à mes services web en mettant 192.168.1.111. Que cela soit A ou CNAME il faut choisir une IP.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Tu ne peux pas utiliser les mêmes sous-domaines pour l'enregistrement A et CNAME. Sinon évidemment il ne sait pas quoi faire car pour un même sous-domaine il a deux choix possibles.

Donc pour gérer ton routeur tu peux faire, par exemple, admrouter.ndd.com CNAME ns1.ndd.com

Et laisser router.ndd.com A 192.168.1.1

Ton proxy inversé permet d'accéder à un service d'un hôte particulier.

Tandis que le DNS définit un nom d'hôte, il faut bien voir la différence entre les 2.

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, shadowking a dit :

Donc pour gérer ton routeur tu peux faire, par exemple, admrouter.ndd.com CNAME ns1.ndd.com

Et laisser router.ndd.com A 192.168.1.1

Ton proxy inversé permet d'accéder à un service d'un hôte particulier.

Tandis que le DNS définit un nom d'hôte, il faut bien voir la différence entre les 2.

Oui. C'est bien ce que je pensais faire. Dommage que l'on puisse pas faire autrement. Merci.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, unPixel a dit :

Bonsoir,

Nous sommes la même personne 😂

Tu as un certificat SSL Let's Encrypt ou d'une autre autorité faisant foi et étant accepté par ton navigateur ?

Ahhh, en lisant la suite, je vois que tu t'es arrêté avant cette étape.

Par contre, je vois peut-être un soucis. Tu parles de domaine type : https://music.ndd.tld or je vois plutôt quelque chose comme : https://music.xxx.ndd.tld

Qu'en est-il réellement ?

Si tu le souhaites, tu peux m'envoyer une capture d'écran en clair avec tes domaines en MP que je vois si soucis ou pas.

Bonjour,

C'est envoyé 😉

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour,

Merci pour cet excellent tuto.

Avant d'aller plus loin, ma config:

  • FAI orange avec IP dynamique
  • NDD OVH
  • Livebox configurée en DMZ vers le routeur
  • Routeur/FW qui bloque presque tout
  • NAS DS1515+ avec DSM 6.2.2-24922 Update 3
  • Certificat Let's Encrypt obtenu pour ndd.fr ainsi que tous les sous-domaines.

Tout fonctionne presque bien: j'accède aux différents services configurés via les règles de reverse proxy, mais uniquement si je passe par un VPN (HMA pour ne pas le nommer). Sans VPN, j'ai la fameuse page "risque probable de sécurité". Dans Avancé/afficher le certificat, je vois qu'il s'agit du certificat de la Livebox ...🤔, et ça pour tous les sous-domaines.

Donc sans VPN , le navigateur internet se voit proposer le certificat de la livebox, avec VPN, celui du NAS ...

Je précise que je n'ai pas de VPN entre mon domicile et mes équipements, juste un sur mon portable qui me permet d'accéder à différents services (banque, ...) quand je suis à l'étranger (je choisi une IP en France)

Comment cela est-il possible ? J'ai sûrement du louper quelque chose, mais cela fait trois jours que je bloque la dessus

Modifié par mchelmi
précision sur les certificats
Lien vers le commentaire
Partager sur d’autres sites

Auto-reponse:

Il s'agit d'un problème d'interface chaise-clavier 😅. Ndd.fr ne peut marcher en local (sauf DNS perso). Et habitant dans une zone blanche, mon mobile utilise le WiFi... Ça tourne en boucle ! 

Donc tout fonctionne à la perfection, tuto génial 👌

Ceci étant, si les modos souhaitent supprimer ce post histoire de pas polluer, je ne le prendrai pas mal.. 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour,

Merci pour ce super tuto.

Je ne comprends pas : " L'option de redirection présente dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM n'est pas envisageable car elle casse le mécanisme du reverse proxy. "

en quoi cela "casse" le mécansime du reverse proxy ? En effet si j'active cette option cela fonctionne bien chez moi.

Merci.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Hello !

Merci pour ce tuto qui m'a permis de désactiver QuickConnect. 🙂

Il est possible d'ajouter les 2 IP de Let's Encrypt dans la règle de la box, ce qui sécurise encore plus le port 80. La possibilité existe sur Livebox et Freebox.
Le Synology sera alors un peu moins sollicité !

Modifié par BruceFeuillette
Lien vers le commentaire
Partager sur d’autres sites

  • 5 semaines après...

Bonjour,

 

Merci pour ton tuto, il m'a été énormément utile, j'ai malgré tout un peu eu du mal avec webstation.

En effet, mon domaine et nom de domaine pointait bien vers mon nas mais je restais bloqué sur webstation avec ce message :

Citation

Web Station has been enabled. To finish setting up your website, please see the "Web Service" section of DSM Help.

Finalement, le problème a été résolu en créant un fichier .htaccess avec :

Citation

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Fichier à placer dans le dossier /volume1/web/ (ou un sous-dossier si vous utilisez virtual host).

 

Merci également à ce tuto :

https://www.cachem.fr/auto-hebergement-heberger-nom-domaine-nas/

Ca m'a beaucoup aidé, étant en ip dynamique.

 

Il me reste un dernier problème, lorsque je me connecte au nas, je reçois systématiquement ce message :

Citation

Votre connexion n'est pas privée

Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site XXX.be (mots de passe, messages ou numéros de carte de crédit, par exemple). En savoir plus

NET::ERR_CERT_COMMON_NAME_INVALID

 

Modifié par arl0ng
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, arl0ng a dit :

Finalement, le problème a été résolu en créant un fichier .htaccess avec :

Bonjour @arl0ng 

Je ne suis pas certain que le fichier .htaccess réponde au message qui dit simplement que tu peux créer ton site web maintenant que Webstation est opérationnel.....mais peu importe.

Le .htaccess que tu as fait  redirige toute requête en http vers du https (sécurisé)

Mais pour que cela fonctionne correctement il faut aussi avoir un certificat valide. Es tu passé par cette étape? Cela résoudra ton dernier problème.

Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, Jeff777 a dit :

Bonjour @arl0ng 

Je ne suis pas certain que le fichier .htaccess réponde au message qui dit simplement que tu peux créer ton site web maintenant que Webstation est opérationnel.....mais peu importe.

Le .htaccess que tu as fait  redirige toute requête en http vers du https (sécurisé)

Mais pour que cela fonctionne correctement il faut aussi avoir un certificat valide. Es tu passé par cette étape? Cela résoudra ton dernier problème.

Oui je doute aussi du fichier htaccess mais mon problème a été résolu suite à ca et au redémarrage du serveur.

Je viens de résoudre mon dernier problème, c'était bêtement dû au fait que je n'avais rien mis dans la partie SAN du certificat...

Par contre, y a -t-il moyen de placer un nom générique pour tous les sous-domaines ? Pour l'instant, j'ai dû les écrire un à un du coup... (du genre *.ndd.be) 

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, arl0ng a dit :

Par contre, y a -t-il moyen de placer un nom générique pour tous les sous-domaines ? Pour l'instant, j'ai dû les écrire un à un du coup... (du genre *.ndd.be) 

oui mais il te faut un certificat "wildcard". Il existe un tuto sur le forum.

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, Jeff777 a dit :

oui mais il te faut un certificat "wildcard". Il existe un tuto sur le forum.

Merci, je vais regarder ça 😄

Dernière question, le reverse proxy fonctionne également avec ftp et webdav ?

Je n'ai pas encore essayé mais pour éviter de tester pour rien :p

Lien vers le commentaire
Partager sur d’autres sites

Un reverse proxy renvoie une adresse https://tartanpion.ndd  vers http://IPlocale:numérodeport

Donc si en local IPlocal:numérodeport te dirige vers ce que tu souhaites, ça devrait marcher avec https://tartanpion.ndd   à condition d'avoir un certificat pour tartanpion.ndd  (ou une wildcard....😀)

Le seul petit problème auquel je pense avec la wildcard c'est que si quelqu'un se connecte avec nimportequoi.ndd    et que nimportequoi ne figure pas dans tes reverses proxy il arrivera sur la page d'accueil de webstation (index.html).

Il faut mieux le savoir si celle-ci est personnalisée.

Excellent tuto de unPixel :

 

 

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Jeff777 a dit :

Un reverse proxy renvoie une adresse https://tartanpion.ndd  vers http://IPlocale:numérodeport

Donc si en local IPlocal:numérodeport te dirige vers ce que tu souhaites, ça devrait marcher avec https://tartanpion.ndd   à condition d'avoir un certificat pour tartanpion.ndd  (ou une wildcard....😀)

Le seul petit problème auquel je pense avec la wildcard c'est que si quelqu'un se connecte avec nimportequoi.ndd    et que nimportequoi ne figure pas dans tes reverses proxy il arrivera sur la page d'accueil de webstation (index.html).

Il faut mieux le savoir si celle-ci est personnalisée.

Excellent tuto de unPixel :

 

 

 

D'accord merci pour l'info.

Par contre, j'ai un problème étrange, je mets transmission en reverse proxy, aucun soucis pour y accéder.

J'attribue un port 8000 à download station et j'active le reverse proxy, j'obtiens ==>

Citation

La page n’est pas redirigée correctement

Une erreur est survenue pendant une connexion à ds.XXX.be.

    La cause de ce problème peut être la désactivation ou le refus des cookies.

 

Modifié par arl0ng
Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, Jeff777 a dit :

As-tu essayé avec un autre navigateur ?

Oui, je ne comprends pas ce qu'il y a 😕

Là, je suis en train de désactiver quickconnect, c'est bien possible d'accéder à dsm via le reverse proxy également ?

[edit] j'ai réussi à me connecter à dsm via le reverse proxy

Voilà, problèmes résolus, pour dsm, file station et download station, dans le reverse proxy j'ai dû utiliser le port https (pour le localhost) et non le port http...

 

Modifié par arl0ng
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.