[Tuto] Reverse Proxy

[marioliv66]

il y a une heure, Mic13710 a dit :

Les deux suivantes ne servent à rien puisque vous avez paramétré un wildcard

Entendu, je les supprimerais. Par contre, question que je me suis posé, je peux garder le certificat d’origine donné par Synology ? J’ai été étonné que dans le détail de ce dernier il y avait de spécifié des adresses tel que cam.ndd.fr, file.ndd.fr ect.

il y a une heure, Mic13710 a dit :

Normal. Les applis DS utilisent les ports par défaut. Il faut donc bien indiquer le port s'il est différent.

 

Oui mais du coup sur mon smartphone je devrais changer le port lorsque je suis en 4g (port 443) et en wifi (ports ?)

il y a une heure, Mic13710 a dit :

le serveur dns est paramétré sur le nas, pas sur le mac

 Exact, je me suis mal exprimé, j’ai juste indiqué au Mac, l’adresse du DNS du NAS😉

il y a une heure, Mic13710 a dit :

Non. il ne doit y avoir qu'une seule zone qui traite des ndd que vous voulez utiliser sur le lan. Vous ne pouvez pas avoir 2 zones sur le même ndd en utilisant la même vue. Allez faire un tour en page 2 du tuto DNS serveur dans lequel j'ai fait un retour sur mes réglages dns et reverse proxy.

Vérifiez aussi que vous avez bien indiqué au routeur l'adresse du NAS comme serveur DNS principal.

Justement j’avais regardé votre retour sur les réglages du reverve proxy et je m’en étais inspiré (mal apparament 😁).

Dans votre cas, DNS local et DNS public ne sont pas deux zones différentes ? Donc il faudrait que je mette les deux zones dans une seule  (ce que j’avais fait ça au début). Ou faut-il garder les deux zones et faire deux vues ?

Par contre, ayant une livebox 4 je ne suis pas sûr de pouvoir changer le DNS de celle-ci.

 

[Mic13710]

Il y a 2 heures, marioliv66 a dit :

Dans votre cas, DNS local et DNS public ne sont pas deux zones différentes ?

Bien entendu, chez moi il y a une pour le LAN et une pour le WAN parce que j'héberge la totalité de mon ndd sur le NAS. Comme vous êtes chez l'agrume, vous n'avez pas d'IP fixe et donc il est impossible pour vous de faire fonctionner la zone WAN qui est dans ce cas hébergée chez votre registar. Ca aussi c'est expliqué dans le tuto et dans mon retour.

Il y a 2 heures, marioliv66 a dit :

Par contre, question que je me suis posé, je peux garder le certificat d’origine donné par Synology ? J’ai été étonné que dans le détail de ce dernier il y avait de spécifié des adresses tel que cam.ndd.fr, file.ndd.fr ect.

Vous ne pouvez pas mettre un wilcard dans le ndd et utiliser des ndd nommés dans le certificat. Si vous nommez vos ndd, il faut aussi les nommer dans le certificat. C'est aussi expliqué dans mon retour.

[marioliv66]

Merci @Mic13710 pour votre aide, j'ai donc effacé ma deuxième zone et ajouté les adresses manquantes dans la première. Effectivement j'avais mal lu ou du moins mal compris le retour du tuto, en nommant les NDD dans le certificat, tout est rentré dans l'ordre 👍

[homer67]

bonjour à tous

je tenais sincèrement remercier les contributeurs de ce tuto, il est vraiment très utile !

Je me permets juste de faire une petite précision, pour activer la redirection via le fichier .htaccess, il faut penser à désactiver la redirection automatique HTTP vers HTTPS dans le menu "Connectivité -> Réseau -> Paramètres de DSM".

Si vous ne le faites pas, voici le message d'erreur que vous obtiendrez. Je propose d'ailleurs que le tuto soit mis à jour avec ma remarque, j'ai passé beaucoup de temps avant de comprendre d'où venant mon problème

 

 

 

[unPixel]

Citation

Je me permets juste de faire une petite précision, pour activer la redirection via le fichier .htaccess, il faut penser à désactiver la redirection automatique HTTP vers HTTPS dans le menu "Connectivité -> Réseau -> Paramètres de DSM".

Déjà précisé dans le tuto "sécurité" de Fenrir qui logiquement devrait être suivi avant de se lancer dans un proxy inversé...

Quand on installe un système quel qu'il soit, on pense ensuite à d'éventuelles MAJs et surtout à la sécurité. Ensuite, on peut jouer 😋

[alan.dub]

Bonsoir 😁

Suite à un petit échange sur un autre forum je viens de me rendre compte que n'avais pas configuré CardDAV et WebDAV (qui gère CalDAV) en reverse proxy.

Mais est-ce possible ?

 

Question pour ces deux protocoles :

1 ) Si je supprime leurs ports HTTPS de ma Freebox.

2 ) Si je supprime leurs ports HTTPS du pare feu du NAS.

3 ) Si je désactive leurs HTTPS et active leurs HTTP.

5 ) Si je laisse le port HTTPS 443 sur le pare feu du NAS.

6 ) Si j'indique leurs adresses (xxx.ndd.tld et yyy.ndd.tld) sur le reverse proxy (onglet portail des applications).

7 ) Si j'ajoute leurs adresses (xxx.ndd.tld et yyy.ndd.tld) à let's encrypt.

8 ) En bonus, si j'indique ces adresses dans mon .htaccess.

 

Pourrais-je utiliser ces adresses au lieu des adresses (avec port HTTPS d'origine) que j'utilise actuellement ?

Exemple :

CardDAV : https://ndd.tld:1234/principals/user/ remplacé par https://xxx.ndd.tld/principals/user/

CalDAV : https://ndd.tld:1234/dossier/user/ remplacé par https://yyy.ndd.tld/dossier/user/ 

 

Si c'est possible, ne risquerais-je pas justement de foirer le fonctionnement de WebDAV qui est lui même utilisé pour forcer le HTTPS lors des connexions (via son .htaccess) ?

Modifié le 17 février 2019 par alan.dub

[_Megalegomane_]

De mon côté, j'ai activé seulement le HTTP de WebDAV sur le port par défaut (5005 si je me trompe pas) avec le reverse proxy en HTTPS ://webdav.ndd.tld:443 vers http://ip_locale:5005.

Je n'ai pas rencontré de soucis particulier.

 

Sur let's encrypt, j'ai déclaré les adresses de la même manière que mes autres sous-domaines.

 

Par contre, je n'ai pas testé CardDAV et CalDAV...

 

Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk

 

 

 

 

 

 

[alan.dub]

Oui c'est le 5005, le 5006 est le HTTPS que j'utilise pour l'instant.

Mais quid du .htaccess ?

Le forçage http vers https sera-t-il toujours actif ?

il y a 17 minutes, bryce426 a dit :

Par contre, je n'ai pas testé CardDAV et CalDAV...

Ah mince 😂

Modifié le 17 février 2019 par alan.dub

[.Shad.]

Je ne peux pas te dire pour le .htaccess mais en tout cas Davdroid valide l'adresse carddav.domain.tld pour synchroniser mes contacts sur mon smartphone.

[Superthx]

Salut !!!!

Mon reverse proxy marche normalement...

Mais y'a une c***lle dans le potage.

Quand le synology ne travaille pas trop. Le reverse proxy redirige bien ou on lui demande.

Mais dés que j'ai une app lancée comme Hyper Backup ou autre, ben la il redirige plus rien et me met la page synology, Désolé, la page que vous recherchez est introuvable..

Est ce que quelqu'un sait d'où peut venir le problème ?

Au debut je pensai que c'était les HDD qui étaient défaillant.

Mais j'ai fais un test étendue des HDD avec l'utilitaire WD et RAS.

Merci d'avance.

 

[Superthx]

Je me répond. Apparemment HyperBackup charge à quasiment 100% l’utilisation de mes HDD. C’est peut-être pour cela que le NAS ne trouve pas la page. Vrai ou faux ???

[RedScaper]

Le 02/03/2018 à 19:28, Skylnex a dit :

Super tuto.

Si je souhaite héberger plusieurs sites sur mon NAS à l'aide du paquet Web Station. A quel endroit je doit mettre le .htaccess ?

Je pense qu'il faut faire comme ça : avoir une config "générique" dans web/.htaccess puis créer des virtualhost pour web/monsite1, web/monsite2 etc

De plus, est-ce que c'est possible de réaliser ce tuto dans cocher la case "Activer un site Web personnel". Pour simplement utiliser le dossier web à la racine de volume1 et non des dossier www dans les dossiers des utilisateurs ? Merci

Merci

Bonjour,

Je souhaiterai savoir si vous avez réussi à faire fonctionner vos sites web . 

Dans mon contexte j'ai mis en place le Tuto de @Kawamashi ( Merci super TUTO) et j'ai 2 nas Syno.

Rôle du NAS 1 : 

• Web serveur
• Reverse Proxy

Rôle du nas 2 :

• Mes services (video, fichier etc ...)

Dans le dossier "Web"(Defaut) c'est la page web par defaut du syno. j'ai 2 autres dossier "Site1" et "Site2" .

Dossier "site1" pour le site monsite1.fr

Dossier "Site2" pour le site monsite2.fr

Cela fait 1 mois que je cherche mais je n'arrive pas à les faire fonctionner. 

 

Merci d'avance pour votre aide.

[Rhugues]

Bonjour , 

Oui Çà fonctionne , mais pas avec des Sites de type Ip/"qqchose" ...  la redirection utilisera les memes argument que les VirtualHost : Port d ecoute et (IP ou "Resoltion DNS) 

les "/" derrières suivront uniquement si la "racine" du site est correctement géré par le Reverse Proxy .)

j ai plus de 4 sites hébergé sur le NAS , et d autre ailleurs ,  la difficulté majeur et de faire correspondre les noms de domaine  local ou externe ...

J ai pour ça recréé un Sous-domaine Local équivalent aux Domaine Public ... ( DynDNS inclues ) , dans lequel les IPs des point "A"  sont celle du LAN Local ... et les Sites WWW corespondent à des "CName"  ... 

De cette manières  les Sites sont accessibles directement de la même manière en Local "en Externe" .

Autre avantage de cette Solution , le NOM  qui pointe sur une "IP" peut être multiplié ...  dans le DNS   ( le Reverse Synology ne donne pas accès a cette possibilité ../.. ) 

Le jeu des redirections , ou de la réplications   permet  un Fail-Over simple et pratique :)   -> TTL DNS differente pour privilégier une Hote ...

Cela évite aussi les contraintes des Site de Type "IP.IP.IP.IP "/"site /" qui ne sont pas "redirigeable" , puisqu il leur faut  autre chose qu une IP:port...   typiquement ceux par default des 2 NAS  :

une autre solution  serait de changé le Port par default d un des 2 Nas  , et d utiliser le Reverse Proxy pour y Mettre  L'' IP : PORT ...  ( plus Simple que monter un DNS local ...!! )

-> NAS 1 :80    ->NAS 2 :81       reverse Proxy -> NAS 2 ->  " IPnas2":81

Il existe Beaucoup de méthode pour s affranchir des IP:port  dans les Navigateurs .

[Jeff777]

Il y a 1 heure, Rhugues a dit :

Dossier "site1" pour le site monsite1.fr

Dossier "Site2" pour le site monsite2.fr

Cela fait 1 mois que je cherche mais je n'arrive pas à les faire fonctionner. 

Bonjour,

J'utilise uniquement le virtual host et bien sûr dns serveur pour les entrées CNAME. Pas besoin du reverse proxy.

Quant au htaccess uniquement pour renvoyer le http vers du https.

Par contre les url sont site1.monsite.fr et site2.monsite.fr 

[Superthx]

Est ce que il y a d'autres reverse proxy que celui qui vient par défaut avec DSM ??

[Jeff777]

Regarde Haproxy on en parle abondamment dans ce forum mais je n'ai jamais essayé.

[Pr0TiPx8]

Bonsoir à tous,

Petit retour sur ce que j'ai fait et les modifs que j'ai effectué.

Alors pour commencer j'ai rajouté une ligne par rapport au tuto que j'ai nommé "DSM" et qui me permet d'accéder au bureau de mon NAS via monndd.fr puisque toutes les autres sources pointent vers des fonctions bien spécifiques.

Alors pourquoi ? Tout simplement parce que ça me pointait vers cette fameuse page (ne pas tenir compte du VPN et du 10.8.0.1 (remplacer le par monndd.fr) j'ai repris un screen déjà existant, mais j'avais systématiquement cette page), sans compter l'erreur https qui s'affichait.

J'avais également cette erreur en tapant download.monndd.fr / fichiers.monndd.fr / etc SAUF pour video.monndd.fr (Vidéo station) c'était le seul qui fonctionnant (mystère et boule de gomme) + l'erreur HTTPS mais ça c'est normal le certificat n'était pas encore fait !

Alors j'ai résolu un premier problème en ajoutant en source mon fameux NDD que j'ai chez OVH et qui pointe vers localhost:5000 (qui est le port par défaut), là j'accédais au bureau de mon NAS + toujours prb HTTPS mais là encore normal pas encore fait le certificat à ce moment là de la manip

ET EN PLUS

J'ai résolu tous mes problèmes de download.monndd.fr / fichiers.monndd.fr / etc qui me renvoyait sur cette page Web Station has been enabled... bla bla en décochant la case Activer un site Web personnel 

Et là j'avais accès !

Après modif du certificat + ajout du fichier htaccess aucun problème tout fonctionne.

J'accède donc à toutes mes fonctionnalités via les urls https sources + mon bureau NAS.

Le seul point ennuyant c'est qu'il me redemande systématiquement de me connecter pour accéder à tel ou tel fonction... Si quelqu'un à une idée juste pour ce point ?

Modifié le 11 mars 2019 par Pr0TiPx8

[lose]

est ce que ce petit programme convient ?

https://www.synology.com/fr-fr/knowledgebase/DSM/help/SSOServer/sso_server_desc

[Jeff777]

Bonjour @lose

Il y a 11 heures, Pr0TiPx8 a dit :

J'ai résolu tous mes problèmes de download.monndd.fr / fichiers.monndd.fr / etc qui me renvoyait sur cette page Web Station has been enabled... bla bla en décochant la case Activer un site Web personnel 

C'est curieux car chez moi la case est cochée et pourtant ça fonctionne. La seule différence c'est que mon accès au DSM se fait par syno.ndd.tld. ndd.tld pointe vers la page d'accueil ci-dessus que j'ai personnalisée en erreur de redirection.

Par contre, avec le raccourci vidéo, tu arrives à te connecter mais sais tu lire les vidéos ? Il y a un bug dans videostation et le proxy inversé doit pointer sur https pour le corriger (en principe, à moins qu'il y ait eu une correction de faite).

Il y a 11 heures, Pr0TiPx8 a dit :

Le seul point ennuyant c'est qu'il me redemande systématiquement de me connecter pour accéder à tel ou tel fonction... Si quelqu'un à une idée juste pour ce point ?

Je n'ai pas ce problème non plus !

Modifié le 12 mars 2019 par Jeff777

[RedScaper]

Le 05/03/2019 à 17:48, Rhugues a dit :

Bonjour , 

Oui Çà fonctionne , mais pas avec des Sites de type Ip/"qqchose" ...  la redirection utilisera les memes argument que les VirtualHost : Port d ecoute et (IP ou "Resoltion DNS) 

les "/" derrières suivront uniquement si la "racine" du site est correctement géré par le Reverse Proxy .)

j ai plus de 4 sites hébergé sur le NAS , et d autre ailleurs ,  la difficulté majeur et de faire correspondre les noms de domaine  local ou externe ...

J ai pour ça recréé un Sous-domaine Local équivalent aux Domaine Public ... ( DynDNS inclues ) , dans lequel les IPs des point "A"  sont celle du LAN Local ... et les Sites WWW corespondent à des "CName"  ... 

De cette manières  les Sites sont accessibles directement de la même manière en Local "en Externe" .

Autre avantage de cette Solution , le NOM  qui pointe sur une "IP" peut être multiplié ...  dans le DNS   ( le Reverse Synology ne donne pas accès a cette possibilité ../.. ) 

Le jeu des redirections , ou de la réplications   permet  un Fail-Over simple et pratique :)   -> TTL DNS differente pour privilégier une Hote ...

Cela évite aussi les contraintes des Site de Type "IP.IP.IP.IP "/"site /" qui ne sont pas "redirigeable" , puisqu il leur faut  autre chose qu une IP:port...   typiquement ceux par default des 2 NAS  :

une autre solution  serait de changé le Port par default d un des 2 Nas  , et d utiliser le Reverse Proxy pour y Mettre  L'' IP : PORT ...  ( plus Simple que monter un DNS local ...!! )

-> NAS 1 :80    ->NAS 2 :81       reverse Proxy -> NAS 2 ->  " IPnas2":81

Il existe Beaucoup de méthode pour s affranchir des IP:port  dans les Navigateurs .

Bonjour,

Je tiens à tiens à te remercier.

Mes sites fonctionne à nouveau avec ta méthode. En effet , le fait d'utiliser la redir de PORT fonctionne. Je peux à présent utiliser mon NAS 1 qui reverse proxy vers mes sites local et vers NAS 2 ainsi que les applications classiques(Drive,surveillance Station , file Station etc .... )

Mais je me retrouve avec 1 petit souci Photo Station ne fonctionne plus. A tout les coups cela doit être du à la mise en place de Reverse proxy.

Je dois y jeter un oeil

Bien à toi

[Jojo (BE)]

je pense que le soucis pour phtostation vient du fait qu'il y a un sos-directory qui est nécessaire de préciser/ On en parle je pense plus tôt dans ce topic

[Kramlech]

Je viens de reprendre la lecture de ce tuto et je me pose une question :

Il est indiqué, pour les applications standards, qu'il faut leur attribuer un numéro de port via le "Portail de applications"

Puis de gérer les redirections via le reverse proxy.

Personnellement, je n'ai pas utilisé cette méthode. Car juste à coté de la colonne HTTP, il y a une colonne "Domaine". On peut y saisir un nom de domaine ("video.mondomaine.fr" par exemple).

Et cela permet d'accéder directement à l'application via ce nom de domaine. Pas besoin de déclarer la redirection dans le Reverse Proxy. C'est le DSM qui se charge de tout.

Existe-t-il une raison pour ne pas utiliser cette possibilité (plus légère que le Reverse Proxy) ?

[unPixel]

Je suppose que toi tu n'as pas pu mettre le port http et un domaine en https ?!

Elle sert peut-être à ça cette règle dans son tuto 😉

Je suppose que tu as mit le port https directement ce qui fait que ça arrive en https de l'extérieur et ça passe aussi en https en local.

[Kramlech]

Oui, bien vu, effectivement, cela peut être une raison ....

[eidern]

Bonjour,

tout d'abord merci pour ce tuto ainsi qu'a celui de Zeus pour les noms de domaine.

Je me retrouve confronté a un problème lié aux certificats de sécurité, et quand je lis les 6 pages de ce sujet je m'aperçois qu'apparemment je suis le seul à avoir le cas, donc je pense que j'ai loupé quelque chose..

J'arrive bien à générer un certificat de sécurité via Let's Encrypt. configuré comme suit (avec noms bidons mais bon, vous avez une idée comme ça)

config initiale :

domaine: bidule.fr

Dynhost: nas.bidule.fr

zone DNS: *.nas.bidule.fr  CNAME => nas.bidule.fr

Proxy inversé pour NoteStation : https://note.nas.bidule.fr

 

et du coup pour le certificat :

nom de domaine : nas.bidule.fr

Courrier electronique: blabla@blabla.fr

Autre nom de l'objet:   note.nas.bidule.fr; www.nas.bidule.fr

 

Le certificat est bien généré, mais si j'essaie d'aller sur https://note.nas.bidule.fr j'ai un avertissement sécurité " cette connexion n'est pas privée"

Qu'ai je mal fait encore ?

merci d'avance