Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Dans ma configuration je n'ai que le port 443 ouvert sur ma box et redirigé vers la NAS.
J'ai mis en place le reverse proxy qui passe les requêtes de Https vers Http en local pour les applications gérées.
Par contre je voudrais pouvoir avoir l'accès photo station par photo.ndd.fr sans être obligé d'ajouter le /photo comme actuellement car si je ne le met pas dans la requête photo.ndd.fr arrive sur DSM.

De vos échange j'ai cru comprendre qu'il faut ajouter un fichier .htaccess est-ce cela ? dans ce cas je devrais je activer webstation ?

 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Ah oui pardon. Pour .htaccess il le faudra oui. 

Autrement je me demande si un fichier php pour la redirection vers https avec la solution @oracle7 d'activer web socket dans le proxy photo peut fonctionner ?

Ah je n'avais pas vu ton edit. Oui effectivement je l'ai activé dans webstation

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Citation

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$ https://photo.ndd.tld/photo [L,R=301]

Il suffit que je mette ce fichier tel quel ?
J'ai vu aussi qu'il fallait installer Apache pour pouvoir utiliser un fichier .htaccess ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

je n'arrive pas à implémenter le ReverseProxy Synology correctement.

1) Zone DNS : ndd.com

video.ndd.com CNAME nas.ndd.com.

audio.ndd.com CNAME nas.ndd.com.

file.ndd.com CNAME nas.ndd.com.

nas.ndd.com utilise DynHost car @IP dynamique opérateur

 

2) Synology

Sur Portail des applications

Application:

Video Station : Activer un port https personnalisé / port wxy1

Audio Station Activer un port https personnalisé / port wxy2

File Station Activer un port https personnalisé / port wxy3

Proxy inversé:

Video : Source : HTTPS / video.ndd.com / 443  - Destination : HTTP / localhost / wxy1

Audio : Source : HTTPS / audio.ndd.com / 443  - Destination : HTTP / localhost / wxy2

File : Source : HTTPS / file.ndd.com / 443  - Destination : HTTP / localhost / wxy3

Résultats observés (depuis internet)

https://nas.ndd.com = OK (accueil DSM)

https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM)

https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station

https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station

https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station

Aucun problème de certfificat LetsEncrypt constaté.

Merci pour votre aide

Modifié par fm76
Lien vers le commentaire
Partager sur d’autres sites

@fm76

Bonjour,

il y a 12 minutes, fm76 a dit :

Sur Portail des applications

Application:

Video Station : Activer un port https personnalisé / port wxy1

Audio Station Activer un port https personnalisé / port wxy2

File Station Activer un port https personnalisé / port wxy3

A ce niveau, ce sont les ports HTTP qu'il faut indiquer et non pas les ports HTTPS  vu que la connexion est déjà en HTTPS. Tu fais alors du https sur du https ce qui est contre productif cela conduit à du double chiffrement inutile.

il y a 12 minutes, fm76 a dit :

Proxy inversé:

Video : Source : HTTPS / video.ndd.com / 443  - Destination : HTTP / localhost / wxy1

Audio : Source : HTTPS / audio.ndd.com / 443  - Destination : HTTP / localhost / wxy2

File : Source : HTTPS / file.ndd.com / 443  - Destination : HTTP / localhost / wxy3

Si dans la partie Application les ports wxy1 et respectivement, wxy2 et wxy3 sont les même que dans la partie Reverse Proxy alors j'en déduit que ce sont des ports HTTPS et donc tu ne peux les utiliser dans le Reverse Proxy, pour la destination au localhost il faut associer le port http de l'application.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Bonjour oracle7.

merci pour ton aide.

Ah oui effectivement.

J'ai donc réalisé la configuration suivante sur Portail des applications

Application: -> utilisation des ports HTTP au lieu de HTTPS

Video Station : Activer un port personnalisé (HTTP) / port wxy1 / Se connecter http://nas.ndd.com:wxy1

Audio Station Activer un port personnalisé (HTTP) / port wxy2 / Se connecter http://nas.ndd.com:wxy2

File Station Activer un port personnalisé (HTTP) / port wxy3  / Se connecter http://nas.ndd.com:wxy3

 

Proxy inversé:

Video : Source : HTTPS / video.ndd.com / 443  - Port: Activer HTTP/2 - Destination : HTTP / localhost / wxy1

Audio : Source : HTTPS / audio.ndd.com / 443  - PortActiver HTTP/2 - Destination : HTTP / localhost / wxy2

File : Source : HTTPS / file.ndd.com / 443 - Port: Activer HTTP/2  - Destination : HTTP / localhost / wxy3

Résultats observés (aucun changement par rapport à l'essai précédent depuis internet)

https://nas.ndd.com = OK (accueil DSM)

https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM)

https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station

https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station

https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station

Aucun problème de certfificat LetsEncrypt constaté.

Merci pour votre aide

Cordialement,

Modifié par fm76
Lien vers le commentaire
Partager sur d’autres sites

@fm76

Bonjour,

Le port 443 est-il bien transféré (NAT/PAT) dans ta box vers le NAS ?

Le port 443 est-il bien ouvert/autorisé dans le pare-feu du NAS ?

Quand tu fais un ping nas.dd.tld est-ce que cela répond bien ?

Quand tu fais un nslookup nas.ndd.tld 1.1.1.1 ou nslookup nas.ndd.tld @IPBox est-ce que tu as bien ton @IP externe en retour ?

Cordialement

oracle7☹️

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @fm76

En plus des tests que demande @oracle7 deux constatations :

il y a une heure, fm76 a dit :

https://nas.ndd.com = OK (accueil DSM)

https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM)

https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

Si nas.ndd.com te donne l'accueil DSM c'est normal que video.ndd.com etc... te donnent le même résultat puisque tu les as défini en CNAME (alias)  de nas.ndd.com.

et ça c'est normal si tu as défini video etc... en alias dans le portail des applications. :

il y a une heure, fm76 a dit :

https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station

https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station

https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station

A part cela je ne suis pas familier avec le Dynhost et je pose la question à @oracle7 . N''est-ce  pas ndd.com qu'il faut déclarer et non nas.ndd.com. Et dans la zone ne faut-il pas un ndd.com NS ns.ndd.com  (ns pour name serveur) et un ns.ndd.com A iplocaldunas

puis faire un reverse proxy avec le https://nas.ndd.com vers http://localhost:5000

 

Je suppose qu'il s'agit d'une zone privée.

 

 

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour, 

Effectivement tu as raison idéalement il faudrait que le DDNS soit défini sur ndd.tld mais souvent il y a une confusion faite en renseignant le subdomain chez OVH. Les utilisateurs saisissent obligatoirement un subdomain dans le premier écran pour créer l'identifiant de gestion du DDNS. Ensuite ils se sentent obligés de saisir aussi ce subdomain dans second écran de saisie du domaine pour le DDNS final alors que le champ n'est pas obligatoire et qu'il peut rester vide pour ainsi avoir au final un DDNS défini sur ndd.tld seul. 

Cordialement 

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Bonjour oracle7,

merci pour tes réponses.

 

1) Vérifications

Le port 443 est-il bien transféré (NAT/PAT) dans ta box vers le NAS ? - > OUI sur la SFR BOX le port 433 a une règle NAT sur @IP fixe du Synoloy

Le port 443 est-il bien ouvert/autorisé dans le pare-feu du NAS ? - > OUI : firewall OK sur (port 443 autorisé)

Quand tu fais un ping nas.dd.tld est-ce que cela répond bien ?- > OUI : depuis internet ping nas.ndd.com répond sur l'@ IP publique de la BOX

Quand tu fais un nslookup nas.ndd.tld 1.1.1.1 ou nslookup nas.ndd.tld @IPBox est-ce que tu as bien ton @IP externe en retour ? > OUI : depuis internet nslookup nas.ndd.com affiche une résolution sur @IP publique de la BOX (serveur ne faisant pas autorité) + idem pour nslookup nas.ndd.com @IP publique BOX

 

2) Création CNAME dans zone DNS OVH

audio.nas.ndd.com CNAME nas.ndd.com.

video.nas.ndd.com CNAME nas.ndd.com.

file.nas.ndd.com CNAME nas.ndd.com.

J'ai un Warning à la création si je ne mets pas le point à la fin

J'ai essayé sans mettre le point final, alors les CNAME sont créés de la manière suivante:

audio.nas.ndd.com.ndd.com CNAME nas.ndd.com

video.nas.ndd.com.ndd.com CNAME nas.ndd.com

file.nas.ndd.com.ndd.com CNAME nas.ndd.com

 

@Jeff777

Effectivement dans le TUTO, il est indiqué de réaliser le CNAME sur ndd.com plutôt que nas.ndd.com

Le problème est que dans ma zone DNS ndd.com, j'ai plusieurs hôtes qui sont situés dans différents lieux physiques et utilise différentes BOX (ou @IP publique) + site hébergé chez OVH www.ndd.com

Sans doute, il faut que je créé plusieurs zones DNS ou alors si cela est possible un sous domaine synology.ndd.com

Merci pour tes conseils 

 

Cordialement,

fm76

 

Lien vers le commentaire
Partager sur d’autres sites

@fm76

Bonjour,

Il y a 2 heures, fm76 a dit :

file.nas.ndd.com CNAME nas.ndd.com.

J'ai un Warning à la création si je ne mets pas le point à la fin

Oui il faut mettre le " . " à la fin sinon comme tu l'as constaté les CNAME ne sont pas bien constitués. Ils doivent être comme cela dans la zone DNS OVH :

Citation

audio.nas.ndd.com CNAME nas.ndd.com.

video.nas.ndd.com CNAME nas.ndd.com.

file.nas.ndd.com CNAME nas.ndd.com.

 

Si ton DDNS est "nas.ndd.com" et qu'il pointe bien sur ton @IP externe (box) alors dans le reverse proxy tes redirections doivent être du type (pour reprendre ta notation) :

Video : Source : HTTPS / video.nas.ndd.com / 443  - Destination : HTTP / localhost / wxy1

Audio : Source : HTTPS / audio.nas.ndd.com / 443  - Destination : HTTP / localhost / wxy2

File : Source : HTTPS / file.nas.ndd.com / 443  - Destination : HTTP / localhost / wxy3

Et là, cela devrait le faire ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@Drickce Kangel

Tu dois utiliser la fonction Profil de contrôle d'accès intégré à DSM, en définissant les règles qui régissent ce contrôle d'accès, dans ton cas par exemple :

profil-controle-acces-1.png

Tu peux être plus granulaire en modifiant ce qu'il y a après le /, qui correspond au masque de sous-réseau (cette notation est appelée CIDR).

Si par exemple tu ne veux autoriser que les IP 192.168.50.1 à 192.168.50.254, tu écriras 192.168.50.0/24 ou 192.168.50.0/255.255.255.0, c'est équivalent.

Si ton serveur VPN est en 10.8.0.1 (OpenVPN sur DSM), tu peux mettre 10.8.0.0/24.

Puis penser à refuser tout le reste 🙂 mais seulement en fin de liste, c'est résolu séquentiellement donc comme pour le pare-feu, si tu mets ça en début de liste, tu te bloques.

Une fois le profil défini, il faut l'utiliser dans une règle de proxy inversé :

profil-controle-acces-2.png

Tu valides et normalement c'est bon. Ici tu n'auras accès à DSM que si ta connexion prend son origine sur le LAN ou le VPN, depuis l'extérieur tu auras un message comme quoi la ressource n'est pas accessible.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

@Drickce Kangel

Tu dois utiliser la fonction Profil de contrôle d'accès intégré à DSM, en définissant les règles qui régissent ce contrôle d'accès, dans ton cas par exemple :

profil-controle-acces-1.png

Tu peux être plus granulaire en modifiant ce qu'il y a après le /, qui correspond au masque de sous-réseau (cette notation est appelée CIDR).

Si par exemple tu ne veux autoriser que les IP 192.168.50.1 à 192.168.50.254, tu écriras 192.168.50.0/24 ou 192.168.50.0/255.255.255.0, c'est équivalent.

Si ton serveur VPN est en 10.8.0.1 (OpenVPN sur DSM), tu peux mettre 10.8.0.0/24.

Puis penser à refuser tout le reste 🙂 mais seulement en fin de liste, c'est résolu séquentiellement donc comme pour le pare-feu, si tu mets ça en début de liste, tu te bloques.

Une fois le profil défini, il faut l'utiliser dans une règle de proxy inversé :

profil-controle-acces-2.png

Tu valides et normalement c'est bon. Ici tu n'auras accès à DSM que si ta connexion prend son origine sur le LAN ou le VPN, depuis l'extérieur tu auras un message comme quoi la ressource n'est pas accessible.

Honnêtement, un très grand merci @.Shad., je cherchais désespérément comment faire cette manipulation.

Maintenant, je peux officiellement dire que mon NAS est maintenant configuré:

  • Tuto Test des disques appliqué (j'ai renvoyé 2 disques grâce à ce tuto)
  • Tuto Sécurité appliqué
  • Tuto VPN appliqué (j'ai choisi L2TP/IPSec)
  • Tuto Reverse Proxy appliqué

 

J'ai testé le Tuto DNS, mais je me suis locké hors de mon NAS 😅, j'ai dû réinitialise DSM....et comme ça montre que je ne maitrise pas, je préfère continuer à apprendre 😋

Prochaine étape, je vais faire le tuto anti pub et j'avoue, j'aimerai bien faire le tuto Docker...mais ça m'a l'air niveau 2...

En tout cas, merci encore, super communauté. 

 

Lien vers le commentaire
Partager sur d’autres sites

@Drickce Kangel

Comme répondu il y a quelques minutes sur le tutoriel en question, c'est un tutoriel important, avec beaucoup de notions, mais extrêmement intéressant, il te faudra d'autres sources d'informations par contre. Le tutoriel a l'inconvénient que tout étant sur le NAS (proxy inversé, DNS local, applications, ...) on ne distingue pas facilement vers quoi on fait pointer des noms de domaine pour telle ou telle fonctionnalité vu que tout pointe sur la même IP. 😞 

Donc te renseigner par ailleurs peut-être intéressant pour avoir un point de comparaison. 😉 

Docker tu as franchement le temps 😄 je te conseille de mûrir un peu le reste sinon tu risques d'être submergé.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, je suis désolé si cela à déjà été mentionné mais je n'ai pas trouvé de fonction "rechercher" uniquement dans ce tutoriel.

Je me lance, je ne possède aucun ndd, j'utilise une adresse du type  https://***.synology.me/

avec un réadressage de port sur mon routeur pour router le port 443 vers le NAS.

Cela fonctionne trés bien pour photo station. Je souhaite à présent pouvoir me rendre sur download station de la même façon. Hors dite moi si je me trompe mais je ne peux pas rajouter quoi que ce soit à mon adresse https://***.synology.me dans ce style ---> https://download.***.synology.me

Chrome me mets l'erreur "too many redirect"

Je ne comprend pas comment m'y prendre ? Cela est il possible sans louer un ndd payant ?

Merci à celui qui pourra m'éclairer car là je suis dans le brouillard total !

Modifié par Diabolomagic
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.