[Tuto] Reverse Proxy

[Jeff777]

Ah oui j'avais oublié cette possibilité que je n'ai jamais utilisée. Merci de l'info !

[_DR64_]

De rien ! Je pars du principe où si tu n'as pas de certificat wildcard, si les gens analysent ton certificat, ils voient les noms de tous tes sous domaines !!!! 
Du coup je resserre un peu la vis 😉

[Jeff777]

Tu me donnes une raison de plus de conserver mon certificat wildcard 👍

[blq]

A tous,

Le tuto est très intéressant et m'a permis d'en apprendre beaucoup. Par contre, il me semble que certaines informations sont obsolètes et peut-être même "dangereuses". Je ne suis pas expert, mais je me pose des interrogations.

La principale concerne l'ouverture des ports vers Let's Encrypt. L'objectif est compréhensible, sauf que sur le site Let's Encrypt, il y est clairement indiqué que les adresses IP ne sont pas publiées et sont changeantes. Donc, comment faire confiance dans le temps aux IP fournies (en 2018). Si le site est USA et que l'on souhaite limiter les attaques de pays exotiques en ciblant fortement les sources d'accès, il suffit d'autoriser les ports 80 et 443 et d'y associer la région USA. Mais bon, avec un VPN, il est possible de se faire passer pour n'importe quel pays, a priori... Bref, ces entrées avec deux IP fixes dont il n'est pas possible de se procurer officiellement les adresses me laissent perplexe !

Il y a aussi le cas de la redirection des ports 80 et 443 a effectuer depuis sa box. J'ai la même configuration (Freebox) du tuto, comme le laisse suggéré la copie d'écran, mais sur ma box, la redirection des ports 80 et 443 n'est pas possible. il est clairement mentionné de commencer à un numéro de port à 5 chiffres. La redirection fonctionne si j'utilise un numéro de port autorisé, mais cela m'oblige à l'ajouter à l'URL (https://mondomaine.fr:num_port), donc :

• soit, je suis un mauvais et j'ai rien pigé : cette probabilité est sans doute supérieure à 50% 🙂
• soit, il faut procéder à une demande auprès du fournisseur,
• soit ces ports sont réservés à la box et sont donc interdits à l'usage,

A moins qu'une bonne âme m'aide sur ce cout,  je vais chercher encore  pour cette redirection vers le Syno via un nom domaine officiel et sans numéro de port pour adresser le bon service... J'arrive déjà jusqu'à la console DSM (en ajoutant le numéro de port à mon domaine), c'est déjà une bonne progression 🙂

[_DR64_]

il y a 8 minutes, blq a dit :

Il y a aussi le cas de la redirection des ports 80 et 443 a effectuer depuis sa box. J'ai la même configuration (Freebox) du tuto, comme le laisse suggéré la copie d'écran, mais sur ma box, la redirection des ports 80 et 443 n'est pas possible. il est clairement mentionné de commencer à un numéro de port à 5 chiffres. La redirection fonctionne si j'utilise un numéro de port autorisé, mais cela m'oblige à l'ajouter à l'URL (https://mondomaine.fr:num_port), donc :

• soit, je suis un mauvais et j'ai rien pigé : cette probabilité est sans doute supérieure à 50% 🙂
• soit, il faut procéder à une demande auprès du fournisseur,
• soit ces ports sont réservés à la box et sont donc interdits à l'usage,

Bonjour @blq :

https://dev.freebox.fr/bugs/task/24353

 

[.Shad.]

Hello,

Je pense qu'en effet le tutoriel n'est plus à jour concernant les IP, ça ne date que de quelques mois, et @Kawamashi n'est pas spécialement actif sur le forum si je ne m'abuse, peu de chance que ce soit corrigé.
Je pense que tu peux raisonnablement ouvrir le port 443 sur ton NAS à ton pays de résidence, éventuellement d'autres suivant tes habitudes de connexion.
Quant au port 80, si tu utilises un certificat wildcard normalement tu n'as aucun port à ouvrir, car la validation se fait au niveau de la zone DNS, qui est gérée par Synology sur leurs serveurs (pas testé, mais ça marche comme ça pour les autres hébergeurs).
Si tu utilises un nombre fini de domaines définis, tu ne l'ouvres qu'au moment où tu le renouvelles (action faite manuellement du coup).

[Kramlech]

il y a une heure, blq a dit :

Il y a aussi le cas de la redirection des ports 80 et 443 a effectuer depuis sa box. J'ai la même configuration (Freebox) du tuto, comme le laisse suggéré la copie d'écran, mais sur ma box, la redirection des ports 80 et 443 n'est pas possible. il est clairement mentionné de commencer à un numéro de port à 5 chiffres

Ça, c'est parce qu'en raison de la pénurie d'IP V4, depuis quelques temps Free partage une même IP entre plusieurs utilisateurs (en attribuant des plages de ports à chaque utilisateur). Donc si tu n'a pas la chance d'avoir la plage de début, tu ne peux pas utiliser les ports 80 et 443...

Mais ce problème est facile à régler : dans ta console d'administration, tu peux demander une IP "full- stack", c'est à dire avoir une IP pour toi tout seul ... (attention, cela va modifier l'IP fixe qui t'était attribuée).

 

[blq]

Merci mille fois ! Je tournai en rond, mais je savais qu'il y avait un truc simple 😄

C'est fait, je reboote dans 30 minutes ma freebox pour valider tout cela 👌

[_DR64_]

Il y a 3 heures, GrOoT64 a dit :

Bonjour @blq :

https://dev.freebox.fr/bugs/task/24353

C'estce que j'ai dis 😄

[i-Moi]

Le 06/05/2020 à 22:08, GrOoT64 a dit :

Bonjour @i-Moi,

il n'y a pas d'édition à faire sur le fichier .html (c'est la page de garde d'un site Web) Le seul fichier à modifier, c'est le .htaccess qui doit être créé.

Je ne me suis pas posé cette question car pour moi QuickConnect, c'est la porte ouverte à toutes les fenêtres

Si tu préfères taper "vidéo.toto.com" alors rentres celle-la dans ton reverse proxy. Le NAS redigera cette adresse (et uniquement celle-la) vers VideoStation.

A mon avis, réinstaller WebSation pour avoir un fichier .html vierge et reprendre le tuto.

grand merci !

[_DR64_]

De rien @i-Moi !
Petit correction d'ailleurs : Si tu préfères taper "vidEo.toto.com" alors rentres celle-la dans ton reverse proxy. Le NAS redigera cette adresse (et uniquement celle-la) vers VideoStation. (pas d’accents dans une adresse web!)

[TuringFan]

Bonjour,

Je viens de suivre ce tuto pour File Station en utilisant le port 45002 et le nom d’hôte "files.ndd.tld" (pour info mon NAS est accessible à monNAS.ndd.tld).

Problème en tapant https://files.ndd.tld dans mon navigateur j’obtiens une erreur "adresse intourvable".

Edit : Coté regristrar je fais pointer un CNAM "*.ndd.tld" vers mon A "ndd.tld" qui pointe vers mon IP externe.
Sur mon NAS j'ai désactivé la redirection du HTTP vers le HTTPS.
Mon NAS est derrière un RT lui même en DMZ de ma Livebox : je n'ai rien fait sur la Livebox et j'ai transféré les ports 80 et 443 vers mon NAS sur le RT.
les ports 80 et 443 sont ouverts sur mon NAS.

Avez-vous une idée de ce qui peut clocher ?

@oracle7 et @GrOoT64 peut être ? Je sais que vous avez pas mal regardé le sujet.

Cordialement,

Modifié le 29 mai 2020 par TuringFan

[Kramlech]

il y a 3 minutes, TuringFan a dit :

Coté regristrar je fais pointer un CNAM "*.nddd.tld" vers mon IP externe.

Tu es certain de ça ? Un CNAME ne peut pas pointer vers une IP...

Tu devrais avoir un enregistrement A qui fait pointer ndd.tld vers ton IP externe, et un enregistrement CNAME qui fait pointer *.ndd.tld vers ndd.tld

[TuringFan]

@GrOoT64,

Concernant le cas des certificats wildcard cela semble en effet un plus en terme de sécurité.

Je n'y connais pas grand chose mais dans le cas d'une personne mal intentionnée ne serait-ce pas simple pour elle de retomber sur une information équivalente à la liste exhaustive de tes sous domaines en scannant les ports ouverts ?
Il pourrait comme cela méthodiquement essayer de rentrer port par port non ?
Quel serait le danger supplémentaire à ce qu'il obtenne la liste exhaustive de tes sous domaines ?

il y a 1 minute, Kramlech a dit :

Tu es certain de ça ? Un CNAME ne peut pas pointer vers une IP...

Tu devrais avoir un enregistrement A qui fait pointer ndd.tld vers ton IP externe, et un enregistrement CNAME qui fait pointer *.ndd.tld vers ndd.tld

Oui pardon tu as raison. Je fais un edit dans mon post.

[_DR64_]

Bonjour @TuringFan,

Moi je n'en utilise pas. Je ne fais pas non plus pointer *.ndd.tld vers ndd.tld mais j'ai fais un CNAME pour chaque domaine existant. C'est une question de choix et si tu tapes troudesfesses.ndd.tld ça ne pointe pas chez moi du coup 😄 
 

il y a 8 minutes, TuringFan a dit :

Quel serait le danger supplémentaire à ce qu'il obtenne la liste exhaustive de tes sous domaines ?

Dans mon cas, j'ai des domaines qui pointent directement sur mon DSM ou sur SRM limités aux IP LAN/VPN mais pour un méga bon hackeur tout est contournable !

Modifié le 29 mai 2020 par GrOoT64

[TuringFan]

il y a 2 minutes, GrOoT64 a dit :

C'est une question de choix et si tu tapes troudesfesses.ndd.tld ça ne pointe pas chez moi du coup

Je suis maintenant convaincu ...

il y a 2 minutes, GrOoT64 a dit :

Dans mon cas, j'ai des domaines qui pointent directement sur mon DSM ou sur SRM limités aux IP LAN/VPN m

Ok mais si "le pirate" s'amuse a scanner ton IP externe et qu'il tente port par port ça revient au même non ?

[_DR64_]

il y a 3 minutes, TuringFan a dit :

Ok mais si "le pirate" s'amuse a scanner ton IP externe et qu'il tente port par port ça revient au même non ?

Même avec ndd.tld c'est le cas ça... Et on ne peut malheureusement rien y faire.

[TuringFan]

ok merci,

Par hasard une idée de ce qui pourrait clocher sur mon reverse proxy ?

[Mic13710]

Le 20/05/2020 à 14:56, .Shad. a dit :

Je pense qu'en effet le tutoriel n'est plus à jour concernant les IP, ça ne date que de quelques mois, et @Kawamashi n'est pas spécialement actif sur le forum si je ne m'abuse, peu de chance que ce soit corrigé.

Je viens de corriger le tuto car il est vrai que cette info obsolète induit tout le monde en erreur.

[_DR64_]

Tu as vu ça ?

[TuringFan]

à l’instant, GrOoT64 a dit :

Tu as vu ça ?

Oui j'avais fait une erreur sur mon post (j'ai fait un edit) mais c'est bon chez mon registrar

[_DR64_]

donc ça fonctionne toujours pas ?

Il y a 1 heure, TuringFan a dit :

Problème en tapant https://files.ndd.tld dans mon navigateur j’obtiens une erreur "adresse intourvable".

Je sais ! Enfin je pense !
Tu as un serveur DNS sur le routeur non ? Si c'est le cas, il faut enregistrer un type A de file.ndd.fr vers IP.du.NAS sur ton serveur DNS !

Modifié le 29 mai 2020 par GrOoT64

[mcdrokz74]

Hello tous!

je viens ici pour avoir un peu vos lumières sur un souci de reverse proxy surêment bête (ou de DNS), mais je m'arrache les cheveux

Il s'agit d'accéder à mon contrôleur Unifi cloud key depuis l'extérieur, sur une adresse "simple" avec HTTPS et un certif Let'sEncrypt

J'ai donc chez OVH une entrée A "unifi.toto.com" qui pointe vers mon IP publique, et j'ai fait le certificat sur le NAS et créé le reverse proxy

Tout est ok depuis l'extérieur sur https://unifi.toto.com, j'arrive bien sur ma page Unfi controller. Tip top.

Mais sur mon réseau local, impossible de me rendre sur https://unifi.toto.com, obligé de passer par https://192.168.xxx.xxx:8443

De ce que je vois sur le net et même sur le forum, personne ne semble être confronté à ce genre de problème

Si vous avez des idées, elles seront les bienvenues 🙂 🙂 

a++

Modifié le 30 mai 2020 par mcdrokz74

[Kramlech]

Depuis ton réseau local, tu ne peux accéder à une URL qui pointe sur ce même réseau local que :

• si ton routeur est capable de gérer le loopback (les box Free le font, certains routeur le font, pour les autres box, je ne sais pas)

ou

• si tu as installé un serveur DNS sur ton NAS (voir le tuto)

ou

• si tu as modifié le fichier hosts de ton ordinateur

Ceux qui n'ont pas ce problème sont dans un de ces trois cas ...

[mcdrokz74]

merci pour ta réponse!

oui en effet j'ai la possibilité de créer des règles NAT avec une coche "Enable NAT Loopback" dans mon firewall (Zywall USG), ou alors doi-je modifier mes règles NAT existantes ?

je ne saurais pas trop comment faire ces règles en intégrant le loopback 😞