unisev Posté(e) le 22 août 2021 Posté(e) le 22 août 2021 Bonjour, J'ai le même genre de configuration et le serveur web destinataire du reverse proxy reçoit toutes les requêtes comme provenant de l'IP du nas. N'existe-t-il pas un moyen pour que le Reverse Proxy du nas transmette l'IP d'origine ? Un genre de "IP passthrough" ? 0 Citer
oracle7 Posté(e) le 22 août 2021 Posté(e) le 22 août 2021 @unisev Bonjour, Le reverse proxy ne fait qu'écouter les URL qui arrivent sur le port 443 de ton NAS pour, selon le sous-domaine indiqué dans l'URL rediriger (après "traduction de l'URL" en quelque sorte) le flux vers l'@IP (locale ou externe) du service/application correspondant(e) à atteindre. Du coup, je ne comprends pas trop pourquoi et pour quel usage, tu souhaiterais recevoir l'@IP d'origine de la requête entrante. Sauf erreur de ma part, je ne crois pas que le reverse proxy puisse faire cela, mais peut-être que je me trompe aussi ... Cordialement oracle7😉 0 Citer
MilesTEG1 Posté(e) le 22 août 2021 Posté(e) le 22 août 2021 Il y a 5 heures, unisev a dit : N'existe-t-il pas un moyen pour que le Reverse Proxy du nas transmette l'IP d'origine ? Un genre de "IP passthrough" ? Essaye ça : (dernière ligne) Il y a 3 heures, oracle7 a dit : Du coup, je ne comprends pas trop pourquoi et pour quel usage, tu souhaiterais recevoir l'@IP d'origine de la requête entrante. Sauf erreur de ma part, je ne crois pas que le reverse proxy puisse faire cela, mais peut-être que je me trompe aussi ... Pour Fail2Ban par exemple 😉 0 Citer
oracle7 Posté(e) le 22 août 2021 Posté(e) le 22 août 2021 @MilesTEG1 Bonjour, il y a 3 minutes, MilesTEG1 a dit : Pour Fail2Ban par exemple OK, mais la mise en œuvre du blocage natif du compte dans DSM n'est pas suffisante en soit à ce niveau ? Cordialement oracle7😉 0 Citer
MilesTEG1 Posté(e) le 22 août 2021 Posté(e) le 22 août 2021 il y a 9 minutes, oracle7 a dit : @MilesTEG1 Bonjour, OK, mais la mise en œuvre du blocage natif du compte dans DSM n'est pas suffisante en soit à ce niveau ? Cordialement oracle7😉 Qui a dit qu’il parlait d’une application dsm ? 😅ça peut très bien être Bitwarden ou autre 😇 J’ai ça pour mon coffre Vaultwarden et j’ai mis en place une instance Fail2ban pour lui et d’autres. 1 Citer
oracle7 Posté(e) le 22 août 2021 Posté(e) le 22 août 2021 @MilesTEG1 Bonjour, Donc si je comprends bien l'option "X-Real-IP" dans l'entête de la redirection Reverse Proxy fournirait l'@IP d'origine de l'URL entrante et permettrait ainsi au système fail2ban de filtrer ou non celle-ci. J'ai bon ? Cordialement oracle7😉 0 Citer
MilesTEG1 Posté(e) le 22 août 2021 Posté(e) le 22 août 2021 il y a 7 minutes, oracle7 a dit : @MilesTEG1 Bonjour, Donc si je comprends bien l'option "X-Real-IP" dans l'entête de la redirection Reverse Proxy fournirait l'@IP d'origine de l'URL entrante et permettrait ainsi au système fail2ban de filtrer ou non celle-ci. J'ai bon ? Cordialement oracle7😉 Oui c’est l’idée. Par contre depuis le lan si tu passes par le loopback de la box ce sera son ip internet qui sera remontée. pour corriger ça faut faire une réécriture dns dans un serveur local . Moi j’utilise adguard home pour faire ça. 1 Citer
April Posté(e) le 23 août 2021 Posté(e) le 23 août 2021 Bonjour Pour avoir le reverse-proxy + fail2ban ainsi que l'IP d'origine il faut suivre ce tuto : 0 Citer
.Shad. Posté(e) le 23 août 2021 Posté(e) le 23 août 2021 Il faudrait idéalement que j'étoffe la section f2b (et que j'ajoute l'implémentation de f2b-discord, que j'utilise depuis qu'on a regardé ça ensemble 😉). Mais je crois que ce tutoriel décourage déjà les meilleures volontés, je ne vais pas en rajouter une couche. 😄 0 Citer
oracle7 Posté(e) le 23 août 2021 Posté(e) le 23 août 2021 @.Shad. Bonjour, Personnellement, je serais bien tenté mais j'ai encore du mal à voir son intérêt pour moi. Pour l'instant, je suis satisfait du Reverse Proxy de DSM et de son Fail2ban, d'où mon expectative 🤔. Mais comme je suis curieux, je ne dis pas que je ne franchirais pas le rubicon, je pèse encore les patates 😜 Je recherche et suis preneur d'exemples d'utilisations qui pourraient finir de me convaincre. Si tu en as en magasin ? Cordialement oracle7😉 0 Citer
.Shad. Posté(e) le 23 août 2021 Posté(e) le 23 août 2021 (modifié) @oracle7 Des arguments en sa faveur il y en a plein, je m'en rends compte fréquemment vu que je l'utilise depuis plus d'un an : - Gestion et renouvellement automatique du certificat - Possibilité d'éditer intégralement les configurations Nginx sans craindre qu'elle soient écrasées à la suite d'une màj d'OS ou de paquet - Configurations préexistantes de proxy inversé pour un grand nombre d'applications - Fail2ban à la demande pour toutes les applications, pas seulement celles de DSM - Surcouches d'authentification possibles : http, ldap et authelia (2FA, 1FA à la demande) Actuellement sur DSM, si tu dois traiter différemment l'url application.ndd.tld de application.ndd.tld/admin, tu oublies de le faire via l'interface. Et je suis pas sûr qu'une modification par terminal persiste à un redémarrage du paquet. Le proxy inversé de DSM est tout sauf mauvais, mais il ne tient pas la comparaison face à SWAG selon moi. Modifié le 23 août 2021 par .Shad. 1 Citer
MilesTEG1 Posté(e) le 23 août 2021 Posté(e) le 23 août 2021 il y a une heure, April a dit : Bonjour Pour avoir le reverse-proxy + fail2ban ainsi que l'IP d'origine il faut suivre ce tuto : Comme le dit @.Shad. dans une des réponses précédentes, ce tuto, bien que super attrayant pour moi, me fait un peu carrément peur 😄 Il est complet, mais très dense. Il me faudrait consacrer un paquet d'heures pour le mettre en place, et là, j'ai pas ce temps. De plus, ce que tu dis, sur le fait que le tuto est nécessaire, n'est pas vrai. J'utilise le conteneur docker Fail2Ban pour protéger certains conteneurs comme Vaultwarden, Gitea. Pour les applications DSM (paquet) je laisse DSM gérer ^^ 0 Citer
mickaeulkaeul Posté(e) le 28 août 2021 Posté(e) le 28 août 2021 Bonjour à tous, Après avoir suivi le tuto de sécurisation du NAS, celui de création d'un certificat Wilcard Let's Encrypt et enfin celui du VPN Server, j'aimerai m'atteler à celui-ci en espérant que ça convienne à mes souhaits 😉. Je m'explique : j'aimerai me connecter soit depuis mon réseau local soit depuis l'extérieur en VPN aux applications du NAS en utilisant par exemple NAS.monnomdedommaine.fr J'ai fait un test sur l'interface DSM et je peux bien y accéder connecté depuis mon réseau local mais également de l'extérieur mais sans VPN😕 en tapant NAS.monnomdedommaine.fr Y a-t-il un moyen pour paramétrer cela? 0 Citer
.Shad. Posté(e) le 28 août 2021 Posté(e) le 28 août 2021 Si tu y accèdes depuis l'extérieur c'est que tu as une redirection de ports statique de la box vers le NAS du port 5000. Ou que l'uPnP est activé et que le NAS ouvre le port tout seul (ça veut aussi dire que l'uPnP est activé sur la box). Pour l'instant je ne vois pas le rapport avec le proxy inversé, sauf si tu essaies d'accéder à nas.mondomaine.fr via https. 0 Citer
mickaeulkaeul Posté(e) le 28 août 2021 Posté(e) le 28 août 2021 Merci @.Shad. pour ta réponse. Sur ma boxmachine, j'ai uniquement le port 443 de redirigé vers le NAS (ainsi que 500 et 4500 pour le VPN). uPnP est bien désactivé sur la boxmachine. J'accède effectivement au DSM en https. Voici la config que j'ai réalisé pour y avoir accès : Pour faire ce que je veux faire, je n'utilise peut être pas la bonne méthode? 0 Citer
Mic13710 Posté(e) le 28 août 2021 Posté(e) le 28 août 2021 @mickaeulkaeul Pour cela, il faut définir un profil de contrôle qui limite l'accès aux seules IP privées (on peut en réduire la voilure aux seules plages réellement utilisées) et l'appliquer dans la règle. Par ailleurs, il est inutile de remettre une couche ssl sur la redirection. Vous pouvez très bien mettre du http sur la redirection avec un port http (ici le 5000). Enfin, inutile aussi de donner l'ip du NAS sur la destination puisqu'il s'agit de l'hôte local. Vous remplacez simplement l'IP par "localhost" (sans les guillemets bien entendu). 0 Citer
toutnickel Posté(e) le 29 août 2021 Posté(e) le 29 août 2021 @mickaeulkaeul tu peux aussi simplifier en ne mettant que le nom de domaine , tu arriveras sur le Nas. 0 Citer
Rutos Posté(e) le 11 septembre 2021 Posté(e) le 11 septembre 2021 Bonjour à tous, je viens de suivre méticuleusement ce tuto et je suis très content du résultat, tout fonctionne pour l'ensemble des services. Par contre je tourne en rond pour le client Mac Synology Drive Client. Pour le moment, quant je suis en LAN, je dois rentrer l'adresse IP du NAS et dès lors que je quitte le réseau local je peux remettre le NDD perso. Si je laisse le NDD en local, la synchro ne fonctionne plus. J'ai lu plein de choses dans ce post et sur d'autres forums et je n'arrive pas à en faire la synthèse pour trouver une solution où je pourrais laisser mon NDD dans le Synology Drive Client Quelqu'un pourrait me donner une solution viable? Merci d'avance 0 Citer
Jeff777 Posté(e) le 11 septembre 2021 Posté(e) le 11 septembre 2021 Bonjour @Rutos Le proxy inverse fonctionne en accès externe. Pour l'utiliser la même adresse sur le LAN, je crois qu'il existe 3 solutions : 1/avoir une box ou routeur qui fasse du loopback 2/paramétrer une zone privée avec DNS serveur 3/bidouiller le fichier host Personnellement j'utilise la deuxième solution 0 Citer
Rutos Posté(e) le 11 septembre 2021 Posté(e) le 11 septembre 2021 Merci pour ta réponse Je maitrise pas du tout DNS server, pourrais tu m'en dire sur la configuration que tu y as déployée? 0 Citer
Rutos Posté(e) le 11 septembre 2021 Posté(e) le 11 septembre 2021 Merci Je m'y colle Question idiote, mais j'ai un routeur rt2600ac, ne serais-je pas mieux à mettre en place mon serveur DNS côté routeur? 1 Citer
.Shad. Posté(e) le 11 septembre 2021 Posté(e) le 11 septembre 2021 Ca ne change pas grand chose, juste il y a plus de chances que tu redémarres ton NAS plutôt que ton routeur. Donc à choisir je le mettrais sur le routeur. 0 Citer
Rutos Posté(e) le 11 septembre 2021 Posté(e) le 11 septembre 2021 (modifié) j'ai donc opté pour la mise en place de DNS Server via SRM j'ai suivi toutes les étapes et Synology drive client en local a toujours besoin de l'adresse ip et ne sait pas utiliser le NDD avec le sous-domaine dédié au drive C'est même pire qu'avant car plus aucun sous domaine n'est accessible en local Modifié le 11 septembre 2021 par Rutos 0 Citer
oracle7 Posté(e) le 11 septembre 2021 Posté(e) le 11 septembre 2021 @Rutos Bonjour, Tu n'as pas précisé de quel type de box tu utilises, mais si tu veux tirer le meilleur parti de ton RT2600ac, et disposer ainsi d'une solution bien plus paramétrable et adaptable alors je t'invite à lire au moins ce TUTO. Libre à toi de l'appliquer ou non en transposant la partie concernant la Livebox 4 à ta box. A l'interface près, tu devrais retrouver aisément les fonctions citées dans le TUTO et les paramétrer facilement. Ainsi ta box ne sera plus qu'un simple modem (exit tous ses défauts) et ton routeur assurera toute la sécurité qui va bien pour ton réseau local tout en te permettant d'utiliser les serveurs DNS de ton choix et non plus ceux imposés par ton FAI (lequels sont réputés souvent être "menteurs"). Maintenant ce que j'en dis, c'est toi qui voit ... Pour Drive as-tu transféré le port 6690 de ta box/routeur vers le NAS et ouvert ce port dans le pare-feu du NAS ? Drive a besoin de ce port pour faire ses synchronisations. Enfin, comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Cordialement oracle7😉 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.