Aller au contenu

[Tuto] Reverse Proxy

Kawamashi

Par Kawamashi
dans Tutoriels

 Partager

Messages recommandés

Jcdusse44 Newbie

Jcdusse44

Posté(e)
Posté(e)

Je ne comprends pas, j'ai suivi le tuto, quand je vais dans whatsmydns, je récupère bien mon adresse ip avec music.ndd.fr, video.ndd.fr... mais je n'arrive pas à accéder à audio station quand je tape https://music.ndd.fr... Est-ce que vous avez une idée svp ? J'ai du zapper un truc ou merder quelque part mais où ?


Envoyé de mon iPhone en utilisant Tapatalk

0
Lien vers le commentaire
Partager sur d’autres sites
  • Réponses 1.8 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Kawamashi
Kawamashi

Bonjour tout le monde,   J'ai l'impression qu'il y a pas mal de monde intéressé par la possibilité d'utiliser un NAS Synology pour faire du Reverse proxy (depuis DSM 6.0). Je voulais ajouter

.Shad.
.Shad.

Parce que chez toi, de ce que j'en déduis, c'est que NAS1 correspond à la page de login de NAS1, pareil pour NAS2 et NAS3. Donc là tu fais appel au backend, une application, en l'occurrence le bu

oracle7
oracle7

@Diabolomagic Bonjour, Juste un truc à propos du HSTS, c'est est une option pas du tout recommandée (voir le TUTO ReverseProxy) car c'est le navigateur qui enregistre cette information pour

Images postées

_DR64_ Proficient

_DR64_

Posté(e)
Posté(e) (modifié)

Bonjour @Jcdusse44 
Tout est comme ça chez toi ?

image.thumb.png.0d3abcd1673b9611a5583c5eecfe4302.png

Proxy inversé : 

Description : MUSIC

  • Source 

Protocolehttps
Nom d'hôte: music.ndd.tld
Port: 443

image.png.6b8ee4c45bc0d663ee86ff6da3670148.png
 

  • Destination 

Protocolehttp
Nom d'hôte: music.ndd.tld
Port: 8800

Modifié par GrOoT64
0
Lien vers le commentaire
Partager sur d’autres sites
Thierry94 Enthusiast

Thierry94

Posté(e)
Posté(e) (modifié)

@Jcdusse44tu n'aurais pas coché la case de renvoi automatique de http vers https dans les paramètres de DSM ?
Pourquoi as tu changé les ports standards des applications puisque tu y accèdes via le reverse proxy ?, le changement de port n'apport pas vraiment de sécurité supplémentaire

Bien vu @GrOoT64

Modifié par Thierry94
1
Lien vers le commentaire
Partager sur d’autres sites
Thierry94 Enthusiast

Thierry94

Posté(e)
Posté(e) (modifié)

Tant mieux 😉

Il faut supprimer les lignes de ton firewall avec les adresses ip de Let's Encrypt car ces adresses sont obsolètes.
Tu peux ajouter une ligne toutes IP sources pour le port 80 mais ne l'activer qu'au moment du renouvellement de ton certificat et la désactiver après.
Attention cette ligne doit être positionnée avant la dernière ligne qui est la ligne ou tout ce qui n'a pas été accordé avant est refusé

Modifié par Thierry94
0
Lien vers le commentaire
Partager sur d’autres sites
_DR64_ Proficient

_DR64_

Posté(e)
Posté(e) (modifié)

J'ai remarqué que même avec le port 80 uniquement ouvert sur les IP France  ça met lors du renouvellement du certificat :

image.png.60758288e5db1e841fd1b5fbb9ab5d48.png

Je clic sur "Annuler" et dans le Centre des journaux j'ai :

image.png

J'ai donc décidé de laisser comme ça :

image.png.2dfcaa8cbf2a281cff1738cf3a0cf12c.png

Modifié par GrOoT64
0
Lien vers le commentaire
Partager sur d’autres sites
i-Moi Newbie

i-Moi

Posté(e)
Posté(e)

Bonjour à tous.

J’ai suivi le Tuto et je ne maîtrise pas la partie web station, je bute sur l’écran blanc suivant :

index of/ cgi-bin date modified etc..


j’ai un nom de domaine (ex : www.toto.com) qui pointe vers mon ddns (Par ex toto.synology.me). Comme la plupart d’entre nous je voudrais que video.toto.com m’amène vers video station sur le NAS, que surveillance.toto.com m’amène vers le NAS, etc. J’ai réglé routeur et firewall pour ça, crée les regles reverse proxy, etc. J’ai suivi la partie Web station du Tuto, et créé le fichier .htaccess.

J’en suis là car je ne sais pas du tout quoi faire sur la partie édition d’un fichier html pour rediriger vers les services adéquats.

d'autre part, question : A priori le ddns synology permet les wildcards. Donc je devrais pouvoir saisir video.toto.synology.me

1) dans les règles du reverse proxy, est-ce l’adresse ndd ou ddns que je dois saisir comme adresse source ? vidéo.toto.com ou video.toto.synology.me ?

2) que faire pour index.html pour ne pas aboutir à l’écran index of/ ?

merci à tous !

B4A19A18-CB33-48BA-A2E8-A616395DFCFE.jpeg

0
Lien vers le commentaire
Partager sur d’autres sites
_DR64_ Proficient

_DR64_

Posté(e)
Posté(e)

Bonjour @i-Moi,

Il y a 7 heures, i-Moi a dit :

J’en suis là car je ne sais pas du tout quoi faire sur la partie édition d’un fichier html pour rediriger vers les services adéquats.

il n'y a pas d'édition à faire sur le fichier .html (c'est la page de garde d'un site Web) Le seul fichier à modifier, c'est le .htaccess qui doit être créé.

Il y a 7 heures, i-Moi a dit :

d'autre part, question : A priori le ddns synology permet les wildcards. Donc je devrais pouvoir saisir video.toto.synology.me

Je ne me suis pas posé cette question car pour moi QuickConnect, c'est la porte ouverte à toutes les fenêtres

Il y a 7 heures, i-Moi a dit :

1) dans les règles du reverse proxy, est-ce l’adresse ndd ou ddns que je dois saisir comme adresse source ? vidéo.toto.com ou video.toto.synology.me ?

Si tu préfères taper "vidéo.toto.com" alors rentres celle-la dans ton reverse proxy. Le NAS redigera cette adresse (et uniquement celle-la) vers VideoStation.

Il y a 7 heures, i-Moi a dit :

2) que faire pour index.html pour ne pas aboutir à l’écran index of/ ?

A mon avis, réinstaller WebSation pour avoir un fichier .html vierge et reprendre le tuto.

0
Lien vers le commentaire
Partager sur d’autres sites
_DR64_ Proficient

_DR64_

Posté(e)
Posté(e) (modifié)

Bonjour à tous,
J'aimerai appliquer un profil de contrôle d'accès à certain de mes sous domaines du reverse proxy.
Je m'explique : j'aimerai que par exemple si je tape : monswitch.ndd.tdl , ça ne fonctionne que depuis mon LAN ou VPN (qui est réglé sur la même plage de port) c'est possible ça ?
Je pense que ça se passe ici mais je ne sais pas ce que je dois rentrer.......

image.png.ee1d4fa9a50cec8967283c06ab1937c1.png

Merci

Modifié par GrOoT64
0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

Ce que dit @Jeff777 ou alors effectivement le menu où tu te trouves :

Tu peux t'inspirer du tutoriel sur la sécurisation pour les adresses IP privées à autoriser :

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
127.0.0.0/8

Attention que le 10.0.0.0/8 couvre le VPN, ça c'est l'ensemble des adresses privées, après tu peux restreindre et adapter à ton infrastructure.

1
Lien vers le commentaire
Partager sur d’autres sites
i-Moi Newbie

i-Moi

Posté(e)
Posté(e)
Le 30/03/2020 à 13:25, oracle7 a dit :

Bonjour @i-Moi

Voici quelques éléments de réponses :

Oui absolument

Il faut d'abord créer pour chacun d'eux, un enregistrement CNAME dans ta zone DNS chez ton fournisseur DDNS.

Il faut qu'il soient déclarés :

  • dans ton DNS local au NAS ainsi que dans ton certificat Let'sEncrypt si tu n'utilises pas de wildcard.
  • dans les redirections de ports pour ton proxy inversé.

Voir ci-dessus. Sinon quel intérêt de rediriger ver toto.no-ip.com si tu as acheté un domaine toto.com chez le fournisseur X. Restes chez X et configure correctement ton DDNS chez lui. Cela me parait bien plus simple.

Avec Quickconnect quelque soit le chemin emprunté, tes données seront vues sur les serveurs chez Synology. Tout dépend de la confiance que tu leur accordes ...

Points 2, 3, 4 : OUI pour Plex je ne sais pas car je ne l'utilise pas, je préfère Kodi.

L2PT/IPSEC est plutôt utilisé habituellement dans le monde WINDOWS car plus facile à configuer entre PC WIN. Je l'ai installé mais personnellement j'ai opté en pratique pour OpenVPN, plus généraliste et surtout plus sécure car tu peux régler la clé de chiffrement à ta convenance : parano ou pas !

Cordialement

oracle7 😉


Eurêka ! Après des semaines d’efforts, j’ai réussi à faire marcher le Reverse Proxy, et les obstacles rencontrés pourront peut-être aider les autres.

merci pour ton retour, @oracle7, et pour répondre à la question du DDNS, qui te semblait inutile, tu partais du principe que l’adresse IP est fixe (comme chez Free), mais chez Orange ce n’est pas le cas. On est donc obligé d’ajouter le maillon à la chaîne…

Rien ne marchait au début et vu le nombre de points où ça peut foirer, c’est complexe de déterminer où. J’ai suivi l’excellent Tuto de @Kawamashi avec toutefois une exception : au final, je n’ai pas eu à créer de page index.html mais j’ai suivi le reste, comme je pouvais.

en résumé, pour les super super débutants comme moi le schéma courant est :
1-on a un nom de domaine (ndd) qui pointe vers (=>)
2-un DynDNS (ddns) =>
3-la Box-routeur (routeur) qui a une IP non fixe* =>
4-NAS =>
5-Reverse Proxy =>
6-Service demandé (File station, Drive, Vidéo Station, etc)
(* si on a une IP fixe comme chez Free, le ddns est inutile, ignorer l’étape 2)

A chacun de ces étapes, quelque chose peut clocher. Il m’a fallu longtemps pour trouver où était la c... disons le problème.

PROBLÈME 1 :
Déjà, mon registrar ndd dispose d’un outil « sous-domaines », au nom mille fois trompeur. Comme on va utiliser des sous-domaines pour atteindre le NAS, on pense que c’est la fonction idoine. Or, ce n’est pas là qu’il fallait agir, et c’est hélas ce que leur support technique m’avait conseillé, quand j’hésitais entre CNAME et Sous-domaines. Il fallait aller, comme indiqué dans le Tuto puis rappelé par @oracle7, dans l’éditeur DNS, et créer un CNAME pointant vers le ddns. Pour ma défense, je dirai que :

1) l’éditeur de zone DNS du registrar est plus intimidant

2) le registrar me présentait son outil « Sous-Domaines » comme l’outil ad hoc 

PROBLÈME 2 :
Le ddns : on a le choix du fournisseur de ddns et de l’emplacement du service. En effet, si on prend l’exemple d’Orange, la Livebox permet de se connecter à des ddns comme No-IP. Le NAS aussi : je n’ai pas noté de différence, ça marche aussi bien sur la LB que sur le NAS, mais je préfère mettre ce service sur le NAS pour l’instant, la Livebox est déjà à la peine chez moi, trop de périphériques wifi, elle rame.

Le vrai problème est le fournisseur : No-IP ou Synology ? De prime abord, Synology avait tout pour plaire : c’est intégré, on a un vaste choix, et pas besoin de renouveler tous les mois. Chez No-IP, C’est gratuit aussi, mais il faut confirmer tous les mois. Les deux fonctionnent bien, SAUF avec le Reverse Proxy. Si je passe par le ddns Synology, ça ne marche tout simplement pas. Je tape l’adresse ndd.fr, je vois qu’il renvoie vers le ddns Syno, et je n’arrive jamais sur le NAS. Et ce, Firewall actif ou pas (et Firewall de la Box réglé sur moyen comme c’est recommandé). Si je passe par No-IP, ça marche instantanément.

Plus clairement : dans l’éditeur de Zone DNS, chez le registrar, si je mets en CNAME que video.ndd.com => pseudo.synology.me, le reverse Proxy ne marche pas. A l’instant où je remplace pseudo.synology.me par pseudo.noip.com ça roule. Et pourtant, le DDNS de Synology marche : si je tape pseudo.synology.me:numéro de port, ça marche.

Quelle explication verriez-vous à cela ?
Par la suite je publierai peut-être un Tuto pour les Nuls comme moi, bien plus basique que celui de @Kawamashi, qui est d’un trop grand niveau pour moi. (J’ai été perdu au moment du .htaccess et index.html) 

Et j’ai pas fini, je dois maintenant m’attaquer aux certificats et au VPN...

questions :

1) Let’s Encrypt me renvoie une erreur de connexion. Je dois réessayer mais dois-je y mettre l’adresse du ddns ou du ndd ? Et si c’est le ndd, acceptera t il les wildcards pour que tous les sous domaines soient pris d’un coup, même si c’est chez No-IP ?

2) dans la fenêtre d’infos du Reverse Proxy pour une application, @Kawamashi recommande de cocher HSTS. D’autre tutos recommandent de cocher les deux : HSTS et HTTP/2. Quelle différence et quels effets ?

3) si je décide de basculer le DDNS et les certifs vers une formule payante (le bricolage le devient un peu pesant, surtout si c’est pas trop cher de payer), pour plus de fiabilité et sûreté, laquelle recommanderiez-vous ?

merci à tous !

i-moi

0
Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)
Il y a 2 heures, GrOoT64 a dit :

J'aimerai appliquer un profil de contrôle d'accès à certain de mes sous domaines du reverse proxy.

Par curiosité, comment as-tu fait pour que le contrôle d'accès que tu as configuré ne s'applique qu'à certains de tes sous-domaines?

Là, je crois que tu interdis l'accès depuis l'extérieur à tous les proxies inverses.

0
Lien vers le commentaire
Partager sur d’autres sites
_DR64_ Proficient

_DR64_

Posté(e)
Posté(e)

@Jeff777 :

Je crée ma règle ici 

image.png.296e339499c1ba5ed36af9ea3aa959dc.png

image.png.ea3d02a7701f3f2458d419fcf5ee1b74.png

La première ligne autorise mon LAN et mon VPN (comme mon VPN est sur la même plage IP que mon LAN histoire de pouvoir caster des trucs sur ma télé et faire peur à Madame  😈) , la seconde ligne refuse tout le reste ( même principe que le pare feu)
Et ensuite je vais dans les règles des sous domaines qui m’intéressent pour activer le contrôle d'accès.

image.png.feb6e6f98b142bd0993f6077996abc66.png

0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.