Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Bonjour à tous.

Merci pour ce tuto très clair, je l'ai suivi (a priori avec succès). J'ai maintenant des petites questions d'ordre générales pour voir si j'ai bien compris ce que je faisais (je suis débutant en réseau).

Pour la création d'un reverser proxy sur l'adresse "cible.ndd.tld", il faut donc trois prérequis :

  • P1 (facultatif) : Créer une ressource de type A ou CNAME chez son Registrar
  • P2 (obligatoire) : Adapter son certificat
  • P3 (obligatoire) : Créer une ressource de type A sur son DNS (si on en a créé un avec une vue locale / VPN par exemple)
  1. En effectuant P3 mais pas P1 le reverse Proxy ne se fera qu'en local ou en VPN (accès au SRM / DSM par exemple) : impossible d'y accéder depuis l’extérieur.
  2. En effectuant P3 et P1 on permet l'accès à l'application concernée depuis l'extérieur.
  3. Dans tous les cas webstation force la redirection vers le port 443 pour accéder au reverse proxy.
  4. Une fois arrivé au reverse proxy plus besoin du https car déjà en local, la destination est donc en http pour ne pas dégrader les performances.
  5. D'une façon générale, en donnant accès à une application à un utilisateur depuis l’extérieur (Video Station par exemple) celui-ci n'aura pas accès en lecture/édition/suppression (sauf lecture des vidéos dans cet exemple évidemment) aux autres données et applications du réseau (dont les données du NAS, le DSM et le SRM).

Ces 5 affirmations sont elles justes ?

Enfin, une autre question (peut-être sans véritable sens). Je suis utilisateur du protocole SSL VPN de synology : concrètement je me connecte à un portail en "https://ndd.tld:XXXX" pour me connecter en VPN à mon NAS. Est-il possible d'utiliser un reverse proxy pour n'avoir qu'à taper "https://vpn.ndd.tld" et accéder au portail VPN ?

Ce qui me parait difficile à gérer c'est l e va et vient entre l'IP privée et publique. En effet ndd.tld pointe vers mon IP Publique chez mon registrar mais une fois arrivé au reverse proxy j'imagine que ce sera mon DNS qui sdera utilisé et qui lui pointe vers mon IP locale. Comment ensuite repartir vers mon IP Publique pour accéder au portail VPN de synology ?

@GrOoT64 et @oracle7 peut être une idée sur ce point spécifique ?

Merci d'avance,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

OUI pour les 3 prérequis avec pour P1 : Un CNAME me parait suffisant : "xxxxx.ndd.tld.   0   CNAME     nddd.fr.".

Perso, je n'ai aucun enregistrement "A" dans ma zone DNS chez OVH.

OUI aussi pour les 1 à 5 (sauf erreur de ma part).

Et pour rajouter de la sécurité au point 1, tu exploites l'astuce donnée par @GrOoT64 qui verrouille l'utilisation des "xxxx.ndd.tld" au seul local et VPN par l'extérieur. Pour cela, tu rajoutes un profil d'accès qui n'autorise que ton réseau local et refuse tout le reste, aux redirections que tu as créées dans le reverse proxy. Je l'ai fait c'est super !

firefox_20200531_21-43-55.jpg.a1ab82dbb552fd1c38fec0d0232ecbbb.jpg

Ainsi la saisie depuis l'extérieur d'un "xxxx.ndd.tld" hors de ton VPN n'a aucune chance d'aboutir sauf sur une page d'erreur.

Pour le point 5, il faut aussi bien évidemment que les droits utilisateur soient correctement réglés sur le dossier partagé qui contient les vidéos.

Cordialement

oracle7😉

 

 

@TuringFan

il y a 55 minutes, TuringFan a dit :

concrètement je me connecte à un portail en "https://ndd.tld:XXXX" pour me connecter en VPN à mon NAS. Est-il possible d'utiliser un reverse proxy pour n'avoir qu'à taper "https://vpn.ndd.tld" et accéder au portail VPN ?

Je ne comprends pas trop ton idée.

Ce que tu appelles ton portail VPN n'est jamais que l'application cliente du VPN (en l'occurence VPN Plus) qui te permet d'établir la connexion VPN. Ensuite tu utilises un navigateur dans le quel tu tapes "xxxxx.ndd.tld" pour atteindre le service voulu.

Rien de plus à faire ou alors j'ai raté un truc ?

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Merci @oracle7

Il y a 13 heures, oracle7 a dit :

Perso, je n'ai aucun enregistrement "A" dans ma zone DNS chez OVH.

Idem, c'était un exemple générique pour bien comprendre.

Il y a 13 heures, oracle7 a dit :

t pour rajouter de la sécurité au point 1, tu exploites l'astuce donnée par @GrOoT64 qui verrouille l'utilisation des "xxxx.ndd.tld" au seul local et VPN par l'extérieur. Pour cela, tu rajoutes un profil d'accès qui n'autorise que ton réseau local et refuse tout le reste, aux redirections que tu as créées dans le reverse proxy. Je l'ai fait c'est super !

Top, je vais le faire de ce pas pour le SRM et le DSM. Si je comprends bien c'est un plus (que je vais faire) mais sur le papier ma configuration P3 uniquement (sans P1) est déjà théoriquement bloquante ?

Il y a 13 heures, oracle7 a dit :

Je ne comprends pas trop ton idée.

Ce que tu appelles ton portail VPN n'est jamais que l'application cliente du VPN (en l'occurence VPN Plus) qui te permet d'établir la connexion VPN. Ensuite tu utilises un navigateur dans le quel tu tapes "xxxxx.ndd.tld" pour atteindre le service voulu.

Rien de plus à faire ou alors j'ai raté un truc ?

Mon idée n'a peut-être aucun sens, en gros je voulais savoir si je pouvais éviter d'avoir à préciser le port de mon SSL VPN quand je tape https://ndd.tld:XXXX dans mon navigateur pour à la place taper quelque chose du type "https://vpn.ndd.tld" ? Au même titre que j'utilise un reverse proxy pour renvoyer sur des appli sans préciser le port.

Merci encore !

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, TuringFan a dit :

Mon idée n'a peut-être aucun sens, en gros je voulais savoir si je pouvais éviter d'avoir à préciser le port de mon SSL VPN quand je tape https://ndd.tld:XXXX dans mon navigateur pour à la place taper quelque chose du type "https://vpn.ndd.tld" ? Au même titre que j'utilise un reverse proxy pour renvoyer sur des appli sans préciser le port.

Bonjour @TuringFan, dans mon cas,  j'ai créé une redirection visible permanente chez mon registrar : 
vpn.ndd.tld vers https://ndd.tld:port-vpn-plus

Lien vers le commentaire
Partager sur d’autres sites

Merci @GrOoT64,

Il faut faire une redirection de qqelle nature : site web ?

De mon côté j'ai l'impression que seuls les redirections visibles (l'URL change effectivement dans la barre d'adresse du navigateur) fonctionnent et que pour le client il faille indiuer la véritable adresse.

 

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, TuringFan a dit :

Merci @GrOoT64,

Il faut faire une redirection de qqelle nature : site web ?

De mon côté j'ai l'impression que seuls les redirections visibles (l'URL change effectivement dans la barre d'adresse du navigateur) fonctionnent et que pour le client il faille indiuer la véritable adresse.

 

Bonjour @TuringFan

Oui il faut une redirection d nature site web en visible et permanente (301)

Lien vers le commentaire
Partager sur d’autres sites

@GrOoT64 et @TuringFan

Bonjour,

Pardonnez mon ignorance, mais pourquoi faire une redirection visible et pas plutôt invisible ? Cela me paraît mieux qu'elle soit invisible surtout vis à vis de regards indiscrets par dessus l'épaule, lors de la saisie de l'URL, et qui du coup pourraient voir la "vraie" URL, Non ?

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour,

 

Ca faisait un moment que j'utilisais le reverse proxy et je viens de me rendre compte, après un redémarrage du routeur, qu'il n'y a que le 1er dynhost qui se met à jour.

Y a-t-il une manipulation à faire pour que l'ip soit mise à jour automatiquement ?

Et seconde question, mon FAI est compatible ipv6, j'ai donc configuré mon routeur, mon nas a bien une ip ipv6 mais quand je veux ajouter ovh en ddns sur le synology, il n'affiche que l'ipv4. Et j'ai également ajouté une entrée de type AAAA poitant vers l'ipv6 du nas dans zone dns de ovh. Est-ce normal ?

 

 

Capture.PNG

Modifié par arl0ng
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,
 
Ca faisait un moment que j'utilisais le reverse proxy et je viens de me rendre compte, après un redémarrage du routeur, qu'il n'y a que le 1er dynhost qui se met à jour.
Y a-t-il une manipulation à faire pour que l'ip soit mise à jour automatiquement ?
Et seconde question, mon FAI est compatible ipv6, j'ai donc configuré mon routeur, mon nas a bien une ip ipv6 mais quand je veux ajouter ovh en ddns sur le synology, il n'affiche que l'ipv4. Et j'ai également ajouté une entrée de type AAAA poitant vers l'ipv6 du nas dans zone dns de ovh. Est-ce normal ?
 
 
Capture.PNG.7c02848dcd3bb6cbc17bd727635bfdd9.PNG
[edit]
finalement j'ai trouvé la solution, j'ai mis des AAAA vers domaine et également pour chaque sous domaine.
J'ai supprimé les dynhost et ça fonctionne.

Sent from my Redmi Note 7 using Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai une question qui peux paraître un peu bête, mais j'ai suivi le tuto et tout fonctionne à merveille. j'ai une ip fixe et chez mon registrar j'ai fait pointé mon enregistrement A sur mon ip fixe et en j'ai  fait un enregistrement CNAME *.ndd.fr, du coup j'ai généré un certificat chez let's script avec mon ndd.fr et dans "autre nom d'objet" j'ai mis tout mes sous domaine test.ndd.fr, test2.ndd.fr ect... et ensuite fait mon reverse proxy.

Dans un autre tuto j'ai vu que plutôt de mettre un CNAME, il mettait  des enregistrements  A pour tout les sous domaine et les faisait tous pointer sur son ip fixe et ensuite il créait un certificat pour chaque sous domaine, j'ai testé et ça fonctionne aussi.

Du coup ma question est,  quelle est la bonne pratique et pourquoi utiliser une méthode plus que l'autre
Merci d'avance pour vos réponse 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Lestat69 a dit :

Dans un autre tuto j'ai vu que plutôt de mettre un CNAME, il mettait  des enregistrements  A pour tout les sous domaine et les faisait tous pointer sur son ip fixe et ensuite il créait un certificat pour chaque sous domaine, j'ai testé et ça fonctionne aussi.

Je ne vois personnellement aucun intérêt de faire ça. Le jour où tu décides d'héberger tes services sur un VPS par exemple, t'es bon pour modifier tous les enregistrements.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

bonsoir,

en suivant ce tuto je suis parvenu a faire du proxy renversé pour mes services synology et quelques serveurs web (contrôleur unifi, qbittorrent). j'ai un nom de domaine chez ovh.

je ne suis pas allé jusqu'au VII. Auto-hébergement d'un site web et mise en place des redirections car je n'ai pas vu l’intérêt pour le moment.

je bute sur un serveur rutoorent qui a une adresse du type xx.xx.xx.xx/rutorrent

Y-a-t-il une possibilité de l'ajouter dans la liste des serveurs web traité par le synology ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @lowfab,
Il faudrait que tu applique la partie VII du toto et dans le fichier .htaccess  tu mets

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^rutorrent.ndd.tld$
RewriteRule ^$ https://rutorrent.ndd.tld/rutorrent [L,R=301]

Et un reverse :  https://rutorrent.ndd.tld ==> ip locale du serveur rutorrent

Les caractères en rouge sont a adapter à tes adresses. ça devrait le faire comme ça

Modifié par GrOoT64
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, GrOoT64 a dit :

Bonjour @lowfab,
Il faudrait que tu applique la partie VII du toto et dans le fichier .htaccess  tu mets

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^rutorrent.ndd.tld$
RewriteRule ^$ https://rutorrent.ndd.tld/rutorrent [L,R=301]

Et un reverse :  https://rutorrent.ndd.tld ==> ip locale du serveur rutorrent

Les caractères en rouge sont a adapter à tes adresses. ça devrait le faire comme ça

@GrOoT64

ok je vais tenter cela, merci.

j'ai tout de même un service qui ne fonctionne pas en reverse proxy, c'est synology drive

Je parviens à me connecter avec l'appli sous android (drive.ndd.ovh:443) , mais impossible sur PC.

Il y a un point qui m'a échappé ?

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, lowfab a dit :

Je parviens à me connecter avec l'appli sous android (drive.ndd.ovh:443) , mais impossible sur PC.

Le proxy sur PC  https://drive.ndd.tld ====> http://ipprivéedunas:10002 

Il faut déclarer le port 10002 dans l'onglet applications

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, lowfab a dit :

Ce qui est vraiment bizarre c'est que cela fonctionne avec l'app android mais pas le client windows.

Ce n'est pas le même fonctionnement.

Question : tu as bien une adresse fullstack (avec tous les ports) ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.