Aller au contenu

[Tuto] Reverse Proxy

Kawamashi

Par Kawamashi
dans Tutoriels

 Partager

Messages recommandés

  • Réponses 1.8 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Kawamashi
Kawamashi

Bonjour tout le monde,   J'ai l'impression qu'il y a pas mal de monde intéressé par la possibilité d'utiliser un NAS Synology pour faire du Reverse proxy (depuis DSM 6.0). Je voulais ajouter

.Shad.
.Shad.

Parce que chez toi, de ce que j'en déduis, c'est que NAS1 correspond à la page de login de NAS1, pareil pour NAS2 et NAS3. Donc là tu fais appel au backend, une application, en l'occurrence le bu

oracle7
oracle7

@Diabolomagic Bonjour, Juste un truc à propos du HSTS, c'est est une option pas du tout recommandée (voir le TUTO ReverseProxy) car c'est le navigateur qui enregistre cette information pour

Images postées

oracle7 Grand Master

oracle7

Posté(e)
Posté(e) (modifié)

@MilesTEG1

Bonjour,

il y a 30 minutes, MilesTEG1 a dit : 


RewriteCond %{HTTPS} off

Ceci, ça doit être pour dire qu'on ne réécrit pas les HTTPS ?? J'avoue ne pas trop être sûr...

Je te dis cela de mémoire donc sans garantie, mais cette instruction éviterait de boucler sur HTTPS lorsque le HTTP/2 est actif. M'en demande pas plus ...😛

Cordialement

oracle7😉

Modifié par oracle7
1
Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e) (modifié)
il y a une heure, MilesTEG1 a dit :

 [L,R=301]

https://www.sitepoint.com/community/t/what-are-pros-and-cons-of-using-r-301-ne-nc-l-instead-of-just-r-301/36036

Edit : Je n'ai pas tout compris mais on progresse dans la connaissance 😉

Modifié par Jeff777
0
Lien vers le commentaire
Partager sur d’autres sites
AlexisG Rookie

AlexisG

Posté(e)
Posté(e) (modifié)
Il y a 23 heures, MilesTEG1 a dit :

Est-ce possible du coup de faire rediriger un accès via  https://photostation.mon-nas.mon-ndd.ovh/ vers  https://photostation.mon-nas.mon-ndd.ovh/photo/ ?

Hello @Jeff777 @oracle7 @MilesTEG1 !

C'est un truc que j'avais dans ma todo également.

Du coup j'ai suivi vos modop :

  • Paramétrage du reverse proxy pour faire pointer photo.ndd.tld sur une IP locale en HTTP sur le port 80
  • Paramétrage du DNS local avec un CNAME photo.ndd.tld qui pointe sur ns.ndd.tld (ma ligne A de ns.ndd.tld pointe sur le NAS où sont hébergés Photo Station / le DNS local /etc.)
  • Modification du .htaccess (celui à la racine du répertoire "web" on est d'accord ?)
  • Paramétrage du DNS côté OVH avec le CNAME qui va bien

A présent, quand je tape photo.ndd.tld (depuis mon Wifi domestique) il me fait pointer sur le port HTTPS personnalisé du DSM de mon NAS. J'ai loupé un truc ?

EDIT : il y a peut-être à présent une merdouille dans ma config car j'ai purgé le cache DNS et toutes mes URL pointant vers mon NDD affichent une erreur de certificat (c'est le certificat de ma BOX qui apparaît). Quand je clique pour poursuivre la navigation, ça m'affiche une erreur ERR_EMPTY_RESPONSE.

Modifié par AlexisG
0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e) (modifié)

@AlexisG

Bonjour,

Vérifies ta zone DNS locale (car tout semble montrer que tu retombes dans le bug actuel du loopback de la Livebox - firmware 3.103.16) et ta redirection de reverse proxy (destination = --> localhost:80).

Cordialement

oracle7😉

Modifié par oracle7
0
Lien vers le commentaire
Partager sur d’autres sites
AlexisG Rookie

AlexisG

Posté(e)
Posté(e) (modifié)
Le 17/01/2021 à 19:37, .Shad. a dit :

J'ai l'impression de rabâcher un peu, beaucoup, mais que donne nslookup sur photo.ndd.tld ?

C'est la première chose à faire...

Hello @.Shad. ! Désolé je ne suis pas aussi expert que toi sur le sujet donc en effet faut rabâcher un peu...merci de ta patience en tout cas !

Le 17/01/2021 à 12:22, oracle7 a dit :

Vérifies ta zone DNS locale (car tout semble montrer que tu retombes dans le bug actuel du loopback de la Livebox - firmware 3.103.16) et ta redirection de reverse proxy (destination = --> localhost:80).

Hello @oracle7 ! C'est exactement mon diagnostic également. Par contre je suis perdu car tous les paramétrages semblent bon :

  • Le NAS sur lequel sont paramétrés DNS Server / Reverse Proxy pointe en DNS préféré sur lui-même.
  • La connexion de mon PC pointe en DNS préféré sur ce même NAS.
  • Les enregistrements de la zone DNS de mon NAS pointent vers son adresse locale (là où est le Reverse Proxy).
  • Le Reverse Proxy est paramétré pour rediriger les adresses ndd.tld vers des adresses locales sur les bons ports HTTPS qui vont bien.
  • Les ports dans le pare-feu sont ouverts pour ces mêmes ports HTTPS.

Du coup quand je fais des nslookup en pointant mes adresses ndd.tld via mon DNS je pointe bien sur l'URL du NAS qui a le Reverse Proxy.

Modifié par AlexisG
0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e) (modifié)

@AlexisG ça ne t'était pas spécialement destiné, plutôt à @oracle7, c'est clairement l'outil le plus performant pour débugger rapidement des problèmes de redirection et de résolution DNS. 😉 

Est-ce que le Photo Station que tu souhaites atteindre est celui du NAS où il y a le proxy inversé ou l'autre NAS ?
Si c'est le même, localhost doit fonctionner, sinon évidemment il faut mettre l'IP du deuxième NAS.

Modifié par .Shad.
0
Lien vers le commentaire
Partager sur d’autres sites
AlexisG Rookie

AlexisG

Posté(e)
Posté(e) (modifié)

Merci @.Shad. / @oracle7

Je viens de m'apercevoir d'un truc très bizarre dans mes enregistrements DNS. Je m'explique :

  • Je fais un flushdns dans l'invite de commande
  • Je nettoie également les enregistrement DNS dans Chrome via chrome://net-internals/#dns
  • Je tente d'accéder à l'URL video.AlexisG.com --> je semble tomber dans le problème de loopback de la Livebox 4
  • Je consulte les enregistrements DNS, j'obtiens ça :

image.png.749c69c32f163a03d7311eaa99745813.png

C'est comme s'il ne passait pas par le DNS du NAS. Et pourtant j'ai bien le NAS1 comme DNS préféré dans ma connexion Wifi (IP 192.168.1.44) :

image.png.f97bf10231a1e2da536242eac80db3b8.png

Je précise que :

  • nslookup sans pointer le DNS de mon NAS renvoie l'IP publique de ma Box.
  • nslookup en pointant sur le DNS de mon NAS renvoie bien une IP locale.
  • Seule la connexion Wifi plus haut est active (pas de VPN en parallèle, rien).

Je vais regarder ça plus en détails ce soir ou demain ...

Modifié par AlexisG
0
Lien vers le commentaire
Partager sur d’autres sites
AlexisG Rookie

AlexisG

Posté(e)
Posté(e)
Il y a 5 heures, .Shad. a dit :

Passe en mode manuel sur ta connexion réseau Windows et définis juste le NAS comme serveur DNS, je parie que ça marchera à tous les coups

@.Shad. Pari gagné 👍

Ca m'a quand même bien pris la tête cette histoire 😡

Du coup je me suis re-penché sur la redirection photo.ndd.tld --> nas1.ndd.tld/photo avec le .htaccess.

J'y arrive assez facilement quand je met la redirection vers du HTTP dans le .htaccess. Par contre j'ai l'impression que Photo Station est tout simplement inaccessible en HTTPS...j'ai raté un truc ?

0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)
Il y a 13 heures, .Shad. a dit :

Passe en mode manuel sur ta connexion réseau Windows et définis juste le NAS comme serveur DNS, je parie que ça marchera à tous les coups.

@AlexisG Attention ce n'est pas une solution en soi, le DHCP est préférentiel plutôt qu'un adressage statique des DNS, je voulais juste illustrer le fait que c'était l'IP 192.168.1.1 qui pose problème. Il te faut l'enlever des DNS envoyés par le serveur DHCP dans les réglages de ta box ou de ton routeur.

Tu n'as aucune raison de chiffrer une deuxième fois entre ton proxy et Photo Station, tu peux très bien faire pointer ton entrée de proxy inversé sur le port 80 du NAS (localhost si c'est le NAS qui héberge aussi le proxy inversé, sinon son IP locale si c'est le deuxième NAS).

1
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@AlexisG

Bonjour,

il y a 15 minutes, AlexisG a dit :

Par contre je ne suis pas certain que la Livebox 4 propose ça nativement...

Je confirme, c'est impossible sur la Livebox. Si pas de routeur pour se substituer à la Livebox, la seule solution est de fixer manuellement sur le NAS le DNS Server utilisé.

Cordialement

oracle7😉

0
Lien vers le commentaire
Partager sur d’autres sites
  • 2 semaines après...
JPnux Newbie

JPnux

Posté(e)
Posté(e)

bonjour

merci pour le tuto.

Qu'en est-il de la "sécurité" ? Je veux dire par rapport au nom de domaine, est-ce qu'il est trouvable sur Google par exemple ?

Avec le nom de domaine, on peut connaitre l'adresse IP de notre domicile du coup...

Est-ce que vous avez des systèmes de protection contre ca ?

0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)
Il y a 15 heures, JPnux a dit :

Avec le nom de domaine, on peut connaitre l'adresse IP de notre domicile du coup...

Il n'y a aucun moyen d'empêcher ça, sauf à passer par un VPS où se trouverait le proxy inversé et auquel on est connecté par VPN.

Voir message de @PiwiLAbruti ci-dessus.

0
Lien vers le commentaire
Partager sur d’autres sites
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
Il y a 18 heures, JPnux a dit :

Est-ce que vous avez des systèmes de protection contre ca ?

Bien sûr ! On ne prend pas d'abonnement internet, comme ça on n'a pas d'IP publique et, cerise sur le gâteau, on n'a pas besoin d'un nom de domaine 😉.

Trêve de plaisanterie, un nom de domaine est publique. S'il est bien paramétré dans sa zone DNS, il est propagé sur tous les serveurs DNS publiques around the world. Il peut donc être récupérable partout dans le monde. Ceci dit, si vous n'avez pas de site hébergé sur votre ndd et que vous ne le communiquez qu'aux personnes susceptibles de pouvoir l'utiliser, il y a peu de chance qu'il soit répertorié sur google ou autre et qu'il puisse intéresser un quelconque hacker.

Enfin, que votre ndd et votre IP publique puissent être connus n'a pas d'importance. Ce qui compte, ce sont les protections que vous mettez en place pour filtrer les connexions et ne laisser entrer que les ayants droits (tuto sur la sécurité).

0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.