Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Pourquoi as-tu mis des alias personnalisés en plus des ports pour tes applications dans le portail des applications Synology ? Pour moi c'est une cause potentielle de ton problème.

Tu as juste besoin de ton dynhost, des CNAME qui renvoient vers ton dynhost, des ports personnalisés (sans configurer d'alias) et le proxy inversé tel qu'il est actuellement configuré.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Merci pour votre aide.

J'ai remis le sports par défaut et j'ai changé mon DynDNS.

Maintenant, lorsque je fais download.ndd.net, j'arrive sur une nouvelle page (voir ci-dessous).

Si je fais un nslookup download.ndd.net, j'ai bien mon adresse ip (voir ci-dessous).

Que dois-je faire alors pour que ça fonctionne ?

Capture d’écran 2020-07-21 à 14.18.30.png

Capture d’écran 2020-07-21 à 14.22.09.png

Lien vers le commentaire
Partager sur d’autres sites

Bon on va essayer de récapituler, en comparant avec la façon dont je l'aurais fait chez moi si j'avais dû :

dynhost-reverse-proxy.png

cname-reverse-proxy.png

Au niveau de la box j'ai redirigé le port 443 externe vers le port 443 du NAS (pas d'impression d'écran).

Au niveau du pare-feu du NAS, j'ai autorisé l'écoute du port 443 (4ème ligne) :

fw-reverse-proxy.png

Au niveau des ports personnalisés :

pa-reverse-proxy.png

Au niveau du proxy inversé :

pa2-reverse-proxy.png

Je n'ai nulle part renseigner l'entrée moments.ndd.ovh, pas ici par exemple :

acces-externe-reverse-proxy.png

Je n'ai pas coché la redirection http -> https :

reseau-reverse-proxy.png

Maintenant par rapport à ton impression d'écran, est-ce que 10.0.4.1 est ton routeur ? ton NAS ?

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Merci beaucoup.  Cela marche correctement maintenant.  Ce que j'ai fait grâce à ton aide :

- Panneau de configuration > accès externe> avancé : j'ai changé les ports en 80 et 443;
- Panneau de configuration > Réseau > Paramètre de DSM : J'ai décoché la case 'Rediriger automatiquement...'

Pour répondre à ta question sur le 10.0.4.1, il s'agit de mon routeur.  Le nas est sur 10.0.4.xx

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

J'ai suivi ce super tuto et cela semble fonctionner : c'est très très pratique et la gestion de la sécurité au niveau d'une application spécifique se fait en imposant par exemple une IP LAN ou VPN dans un profil.

J'ai maintenant une question de sécurité en lien avec le reverse proxy.

Je suis débutant en réseaux et en NAS mais en faisant il paraît donc vraisemblable que beaucoup de propriétaires de NAS auront au moins les ports 80 et 443 ouverts (reverse proxy, renouvellement certificats let's encrypt, etc.). Si je me mets donc à la place d'une personne mal intentionnée je vais notamment cibler ces ports dont on fait l'hypothèse qu'ils sont ouverts : comment se protéger ?

De mon côté j'ai activé le blocage auto des IPs et le DoS : y a t il d'autres choses à faire ?
Dans le volet "applications" du portail des applications je ne vois pas BT et Synology Drive Server qui imposent  l'ouverture des port 16881, 6681 et 6690.

In fine je me retrouve donc avec un pare feu qui impose une IP LAN ou VPN pour tous mes ports (dont le port DSM) sauf pour les ports 80, 443, 16881, 6681 et 6690. J'ai par ailleurs activé le DoS, la redirection HTTP vers HTTPS via web station (le blocage auto et le HSTS) et un profil imposant les IP LAN/VPN sur le reverse proxy d’applications que j'estime clefs. Suis-je en risque ?

Merci d'avance,

PS : ne sachant pas si je poste au bon endroit j'ai également posté ici. Je garderai le premier avec une réponse et supprimerai l'autre.

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, alan.dub a dit :

Et bien justement non, il ne faut pas activer le HSTS (c’est indiqué dans le tuto)

Pour forcer le https, il vaut mieux passer par le .htaccess via web station comme indiqué dans le tuto.

Merci @alan.dub, je viens de le désactiver.

J'avais déjà fait la manip avec web station mais j'ai bêtement réactivé le HSTS en repassant dessus !

As tu également des conseils sur les autres points ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Autre petite question.

J'ai désactivé le domaine personnalisé et le HSTS.
J'ai fait la manipulation avec web station.

Pour faire des tests j'ai appliqué le port http 49156 et le port https 49157 pour l'application Synology Drive.
J'ai paramétré le reverse proxy (sans profil) vers le le port 49156.

Aucun problème en tapant https://drive.ndd je suis bien redirigé vers l'application (depuis le LAN et le WAN) : j'imagine donc que je passe par le port 443 puis 49156.
En revanche quand je tape http://IPNAS:49456 depuis le LAN impossible de se connecter : auriez-vous une idée ?
Par ailleurs quand depuis le LAN/WAN je tape http:drive.ndd j'arrive sur une page d'erreur de web station sans être renvoyé vers https://drive.ndd.

Quelqu'un pourrait il svp m'expliquer ce que je fais mal ?

Merci d'avance,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Bonjour,

il y a 23 minutes, TuringFan a dit :

En revanche quand je tape http://IPNAS:19456 depuis le LAN impossible de se connecter : auriez-vous une idée ?

Attention si tu tapes 19456 au lieu de 49156 forcément cela ne peut pas le faire ! Par ailleurs dans "panneau de configuration / Portail des applications" onglet "Application" as-tu bien saisi 49156 pour Drive dans la colonne http ?

C'est peut-être cela ton erreur ? l'onglet "Application" est aussi un proxy inversé il me semble.

Cordialement

oracle7😏

 

Lien vers le commentaire
Partager sur d’autres sites

Le 06/07/2020 à 09:29, GrOoT64 a dit :

Bonjour @lowfab,
Il faudrait que tu applique la partie VII du toto et dans le fichier .htaccess  tu mets

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^rutorrent.ndd.tld$
RewriteRule ^$ https://rutorrent.ndd.tld/rutorrent [L,R=301]

Et un reverse :  https://rutorrent.ndd.tld ==> ip locale du serveur rutorrent

Les caractères en rouge sont a adapter à tes adresses. ça devrait le faire comme ça

Bonjour,

Au final, ce ne fonctionne toujours pas

Firefox m'indique :

La page n’est pas redirigée correctement

Une erreur est survenue pendant une connexion à seedbox.monnomdedomaine.ovh.

    La cause de ce problème peut être la désactivation ou le refus des cookies.

 

et pourtant j'ai suivi le tuto à la lettre,

 

Modifié par lowfab
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Depuis une mise à jour de la freebox (en mode bridge) j'ai eu une modification de comportement avec le reverse proxy.

Lorsque je cherche à me connecter à freebox.ndd.tld j'obtien le message suivant : 

unknown host, use ip address or mafreebox.freebox.fr

Quelqu'un a déjà été confronté à cela ? J'ai l'impression que la freebox s'assure que la connexion se fait bien en direct. Y-a-t-il une solution ?

Merci à ceux qui pourront me dire 🙂

Lien vers le commentaire
Partager sur d’autres sites

C'est bien de là que vient le problème. mafreebox.freebox.fr ne pointe pas directement sur ta box mais sur un serveur Free (très probablement un proxy).

Regarde le résultat de la commande nslookup mafreebox.freebox.fr

Je n'ai pas encre pris le temps de tester le mode bridge de la Freebox, donc je ne sais pas comment se comporte l'accès à Freebox OS dans ce mode.

Toujours est-il que certains ont déjà rencontré des soucis : https://dev.freebox.fr/bugs/task/25747

Lien vers le commentaire
Partager sur d’autres sites

Oui, c’est effectivement une ip externe. 
le plus surprenant c’est que ça fonctionnait depuis des années comme ça. 
 

c’est depuis une mise à jour (je me demande si c’est pas en parti lié à ton lien car ils ont annoncé avoir touché à ce point là).

Lien vers le commentaire
Partager sur d’autres sites

Après vérif de la commande nslookup voici ce que j'obtiens : 

Non-authoritative answer:
mafreebox.freebox.fr	canonical name = freeplayer.freebox.fr.
Name:	freeplayer.freebox.fr
Address: XXX.XXX.XXX.XXX

Si je tappe : freeplayer.freebox.fr sur mon navigateur, j'obtiens le même message, par contre si je met mafreebox.freebox.fr ça fonctionne bien. 

Si je passe via reverse proxy, que je mette l'IP, mafreebox.freebox.fr ou freeplayer.freebox.fr j'obtiens systématiquement l'erreur.

Ce qui me semble surprenant, car dans le principe mon NAS est derrière la box, il devrait bien être reconnu comme derrière la box et cela devrait fonctionner, non ?

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Hello, Merci beaucoup pour ce tuto !

je bloque définitivement sur la création du certificat... Toujours le même message d'erreur "Echec de la connexion à Let's encrypt".

Pourtant j'accède bien à mes applications via les adresses type drive.ndd.ovh, j'ai ouvert les port 80 et 443 sur la box et le firewall du NAS..

J'ai tout revérifier mais je ne vois rien qui cloche :/ une idée peut être ?

Lien vers le commentaire
Partager sur d’autres sites

@Manutb

Bonjour,

il y a 51 minutes, Manutb a dit :

j'ai ouvert les port 80 et 443 sur la box

Non il ne faut pas les ouvrir sur la box MAIS les transférer de la box vers le NAS via la configuration du NAT/PAT.

PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@Manutb

Bonjour,

Oui c'est bien.

Ou en es-tu avec LetsEncrypt ?, à priori les conditions sont requises ... sauf si tu as aussi limité les ports 80 et 443 aux IP source issues de France dans le pare-feu du NAS. Les serveurs LE sont entre autres aux US, alors il est préférable de ne rien limiter du tout (IP Sources = Tous) pour ces deux ports ....

Par ailleurs je devine que tu as une box Free alors es-tu bien en "IP Full Stack" sinon ta plage de ports disponibles n'englobe peut être pas les ports 80 et 443. Ceci epxliquant alors cela. Dans ce cas il te faut demander vie l'interface de la box Free la fameuse "IP FullSTack" pour débloquer ces ports. De plus as-tu une @IP fixe ou dynamique ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 Merci pour ton retour et les différentes pistes évoquées !

je n'ai pas avancé avec let's encrypt, toujours le même message d'erreur 😞
A priori le firewall dus NAS me semble correct :
image.png.435b55e0217434b1babb74c70507d3b7.png
Avec dans le détail de la 4eme ligne :
 
image.png.e347ef6cc9441df86063b64145f8ba4f.png

 

Sinon je suis bien chez free effectivement, en fibre optique et ip fixe en full stack
image.png.9765142a0fd43ba1e1c99a257bb6c308.png

@anorec : merci également pour la piste je vais regarder ce soir à mon retour à domicile.

Modifié par Manutb
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.