Aller au contenu

[Tuto] Reverse Proxy

Kawamashi

Par Kawamashi
dans Tutoriels

 Partager

Messages recommandés

  • Réponses 1.8 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Kawamashi
Kawamashi

Bonjour tout le monde,   J'ai l'impression qu'il y a pas mal de monde intéressé par la possibilité d'utiliser un NAS Synology pour faire du Reverse proxy (depuis DSM 6.0). Je voulais ajouter

.Shad.
.Shad.

Parce que chez toi, de ce que j'en déduis, c'est que NAS1 correspond à la page de login de NAS1, pareil pour NAS2 et NAS3. Donc là tu fais appel au backend, une application, en l'occurrence le bu

oracle7
oracle7

@Diabolomagic Bonjour, Juste un truc à propos du HSTS, c'est est une option pas du tout recommandée (voir le TUTO ReverseProxy) car c'est le navigateur qui enregistre cette information pour

Images postées

oracle7 Grand Master

oracle7

Posté(e)
Posté(e) (modifié)

 @Manutb

Bonjour,

Effectivement avec les images, c'est plus facile maintenant 😅

Sinon, dans le pare-feu du  NAS la première ligne pour la Chine fait doublon avec la dernière qui fait déjà le travail de blocage. Tu peux donc supprimer la première ligne inutile.

@anorec a raison, l'examen des logs sera une bonne source d'information ...

Au fait, tu crées comment ton certificat LE ? avec l'interface de DSM ou une autre méthode ? Si c'est avec l'interface de DSM, sur quel domaine ? xxxx.synology.me ou ndd.ovh ?

Cordialement

oracle7😉

Modifié par oracle7
0
Lien vers le commentaire
Partager sur d’autres sites
Manutb Newbie

Manutb

Posté(e)
Posté(e) (modifié)

@oracle7 effectivement ut as raison je vais supprimer la première ligne, merci 🙂 Le certificat j'essai de le créer via l'interface DSM d'ajout de certificat LE, je le fais sur ndd.ovh. Je vais regarder ce soir les logs, je n'ai pas l'accès ssh d'ici.

@.Shad. merci pour ton message, j'ai essayé via l'ip locale mais avec le port 5001 en https, je n'ai pas essayé en 5000. 

D'ailleurs c'est autre chose que je n'ai pas vraiment compris, j'ai définis les accès pour 4 applications dans le portail application mais pas pour DSM, quand je souhaite y accéder je le fais via https://monippublique:5001 Je ne sais pas si c'est la bonne méthode ? 
Egalement est ce normal que lorsque j'accède à l'url sans sous-domaine : http://ndd.ovh j'arrive sur l'interface freebox OS, alors que j'ai activé le WebStation, sauriez vous quelle est l'adresse à mettre pour arriver sur le index.html du dossier web du nas ?

Modifié par Manutb
0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

DSM ne fait pas partie du Portail des applications, il faut passer par l'onglet Proxy inversé (cf tutoriel).
Ça ne sert à rien de passer le port HTTPS si tu n'as pas de certificat valide, tu récoltes juste un avertissement de sécurité que tu éviterais en HTTP.

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@Manutb

Bonjour,

il y a 11 minutes, Manutb a dit :

quand je souhaite y accéder je le fais via https://monippublique:5001 Je ne sais pas si c'est la bonne méthode ? 

Comme dit @.Shad., passes par le Reverse Proxy et mets en place une redirection du type : "https://monNas.ndd.ovh:443" vers "http://localhost:5000". N'oublies pas aussi de créer un CNAME pour "monNas.ndd.fr" vers "ndd.ovh" dans ta zone DNS chez OVH.

il y a 15 minutes, Manutb a dit :

Egalement est ce normal que lorsque j'accède à l'url sans sous-domaine : http://ndd.ovh j'arrive sur l'interface freebox OS, alors que j'ai activé le WebStation, sauriez vous quelle est l'adresse à mettre pour arriver sur le index.html du dossier web du nas ?

NON tu devrais arriver effectivement directement sur le index.html.

Tu as activé WebStation : OK mais as-tu mis en place le fichier "/web/.htaccess" comme indiqué dans le TUTO reverse Proxy ?

Cordialement

oracle7😉

0
Lien vers le commentaire
Partager sur d’autres sites
Manutb Newbie

Manutb

Posté(e)
Posté(e)

@oracle7 non, n'ayant pas réussi à créer le certificat, je m'étais arrêter avant la mise en place du .htaccess.

Merci pour vos messages, au programme donc ce soir : regarder la log LetsEncrypt, paramétrer le reverse proxy pour l'accès DSM et confirguré le .htaccess.

Esperons que tout cela me permettre d'avancer et d'y voir plus clair ! Merci encore.

0
Lien vers le commentaire
Partager sur d’autres sites
Manutb Newbie

Manutb

Posté(e)
Posté(e)

bonsoir !

alors dans la log j'ai ce type de message : 

syno-letsencrypt: syno-letsencrypt.cpp:121 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"Invalid response from http://ndd.ovh/.well-known/acme-challenge/8H7huo-n5DcxVU3Nqnw7yRrNK2-I25rCqV_W4HIPSU8 [8X.XXX.XXX.XX7]: \"<!DOCTYPE HTML PUBLIC \\\"-//W3C//DTD HTML 4.01 Transitional//EN\\\" \\\"http://www.w3.org/TR/html4/loose.dtd\\\">\\n<html>\\n<head>\\n<meta http-\""}
syno-letsencrypt: syno-letsencrypt.cpp:121 Failed to do new authorization, may retry with another type. [{"error":200,"file":"client_v2.cpp","msg":"do new auth by path: failed to do challenge."}
synoscgi_SYNO.Core.Certificate.LetsEncrypt_1_create[11828]: certificate.cpp:965 syno-letsencrypt failed. 102 [Failed to new certificate.]

Il ne réussi donc pas le challenge, aucune idée pour ma part...  @anorec est ce que ça correspondrait au type de message que tu avais eu ?
 

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@Manutb

Bonjour,

Manifestement il y a un problème de communication avec les serveurs LE.

Sans garantie, mais tu peux toujours réinitialiser complètement ton réseau. Pour cela, arrêtes proprement ton NAS puis ta Box/Routeur (débranches les électriquement durant une minute). Ensuite, tu redémarres dans l'ordre (c'est important) la Box/Routeur et quand elle est "clean" tu redémarres ton NAS.

Cela ne "mange pas de pain" et des fois les mystères de l'informatique font qu'un bon reboot ... 🤭

PS : Au fait, ton nom de domaine ne comporte pas par hasard des caractères "exotiques" ou des caractères accentués ? (seulement des caractères standard, majuscules, minuscules et/ou chiffres). Mine de rien, cela pourrait être aussi la cause de tes tracas ...

Cordialement

oracle7😉

0
Lien vers le commentaire
Partager sur d’autres sites
Manutb Newbie

Manutb

Posté(e)
Posté(e) (modifié)

@anorec en fait en regardant de plus près dans les retours détaillés il apparaît bien des erreurs :

@oracle7 OK merci de l'info, je ré essaierai demain en ayant redémarré tout comme tu as préconisé (une fois que la petite famille n'aura plus l'usage de l'internet ^^) 

Screenshot_20200903_222034.jpg

Screenshot_20200903_221942.jpg

Modifié par Manutb
0
Lien vers le commentaire
Partager sur d’autres sites
Manutb Newbie

Manutb

Posté(e)
Posté(e)

Enfin !!! 

Merci à tous, effectivement @.Shad.Cela devait être lié, j'ai finalement modifié le port de contact du freebox os dans l'interface freebox, cela a 'libéré' le port 80 et fait en sorte que j'accède au index.html en entrant juste mon ndd.ovh...

(j'ai mis 81comme port peut-être qu'il faudrait mettre autre chose...) 

Et surtout à permis de générer enfin le certificat !! 

Merci à tous pour vos pistes et vos conseils au combien utiles !?! 

Screenshot_20200903_235619.jpg

0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

Super !

Je crois, de mes lectures précédentes, que Freebox OS est un peu spécial par bien des aspects, entre autre ça pointe en partie sur une page internet, que ce n'est pas uniquement "local".

Il n'y a aucun danger à utiliser un autre port, mais il faudrait s'assurer que dans le cas où tu souhaites ne pas rendre ta box accessible depuis l'extérieur (préférable), tu puisses bloquer ce port pour tout ce qui n'est pas local.

1
Lien vers le commentaire
Partager sur d’autres sites
Kramlech Proficient

Kramlech

Posté(e)
Posté(e)
Il y a 5 heures, oracle7 a dit :

Drôle de bizarrerie que voilà, ils en ont beaucoup comme celle là chez Free ?

Je ne vois pas en quoi c'est une bizarrerie. A partir du moment ou tu ceux accéder à ta box depuis l'extérieur, il est normal que tu indiques quels sont les ports d'accès ... Tu fais la même chose pour le NAS.

Et à partir du moment ou il y a conflit entre un des ports d'accès à la box, et un des ports redirigés vers le NAS, ça ne me choque pas que ce soit la redirection vers la box qui soit prioritaire.

Car de cette manière, comme tu accèdes à la box, tu peux corriger l'erreur de redirection. Alors que dans le cas contraire, cela signifierait qu'il serait impossible de joindre la box ...

On peut ergoter sur le fait qu'il auraient pu ajouter un contrôle pour ne pas autoriser que le même port soit utilisé pour accéder à la box et pour une redirection vers une machine du réseau interne, mais on va dire que vu que c'est comme cela depuis toujours,  "it's not a bug, it's a feature" ... 😄

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@Kramlech

Bonjour,

J'ai pris cette fonctionnalité comme une "bizarrerie" car avec une LiveBox Orange, cela n'existe pas. D'où mon étonnement. Sur la LiveBox, on accède directement à l'interface avec l'@IP 192.168.1.1 sans avoir à préciser de port vu que c'est obligatoirement 80 ou 443. Mais je te l'accorde, c'est peut-être un manque coté Orange ? Du coup, je ne saisi pas bien l'intérêt de spécifier un autre port hormis pour ne pas exposer la box sur ces ports standards. C'est cela ?

Cordialement

oracle7😉

0
Lien vers le commentaire
Partager sur d’autres sites
dd5992 Newbie

dd5992

Posté(e)
Posté(e) (modifié)

Bonjour,

Je reviens sur l'accès à la freebox à travers un reverse proxy et en effet, @Vinky et @PiwiLAbruti, les choses ont changé depuis cet été. J'ai essayé de creuser, mais visiblement pas assez 🤥.

Ce qui marchait avant :

J'ai un routeur Syno RT2600AC derrière la freebox révolution. Mon reverse proxy est porté par le DS918+ en aval du routeur. La freebox est en mode routeur (avec le RT2600AC dans la DMZ de la freebox), mais le fonctionnement est strictement identique avec la freebox en mode bridge (même chose pour le disfonctionnement constaté depuis cet été).

La règle de reverse proxy pour la freebox est : https://freebox.ndd.tld -> http://mafreebox.freebox.fr

J'utilisais cette façon de faire
1) pour avoir un accès complet à la freebox depuis l'extérieur,
2) pour disposer du contrôle d'accès par les profils proposé par DSM.

Tout marchait très bien de l'intérieur du réseau local ou de l'extérieur.

Et maintenant :

J'ai dans les deux cas (réseau local ou extérieur) le message d'erreur suivant : "unknown host, use ip address or mafreebox.freebox.fr".

Du réseau local, l'utilisation de mafreebox.free.fr, ainsi que 192.168.0.254 fonctionnent parfaitement.

J'ai essayé de remplacer la règle reverse proxy par https://freebox.ndd.tld -> http://192.168.0.254 : mêmes messages aussi bien en local qu'à distance.

Il semble que la freebox refuse de répondre à une requête qui ne vient ni directement de mafreebox.freebox.fr ni directement de 192.168.0.254.

 

Qu'en pensez vous ?

Merci de partager vos réflexions.

Modifié par dd5992
0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.