Aller au contenu

Rediriger les connexions HTTP vers HTTPS dans Photo Station


Messages recommandés

Je souhaite pouvoir accéder à Photo Station en tapant l'URL http://MonDomaine.fr/photo et donc plus simplement MonDomaine.fr/photo. Quand je le fais, la page est introuvable. Dans les paramètres de Photo Station la case "Rediriger automatiquement les connexions HTTP vers HTTPS" est pourtant cochée.

Définir un reverse proxy ne ferait pas avancer les choses car il faudrait dans tous les cas taper https://photo/monDomaine.fr plutôt que https://monDomaine.fr/photo. actuellement.

Je n'ose entrer le port 80 en HTTP sur l'onglet Général des paramètres puisque Photo Station n'est pas ouvert sur les réseaux sociaux chez moi.

Il est possible de créer un alias d'une application Synology sur le NAS dans Portail des applications > Applications mais Photo Station n'y figure pas et il n'est pas possible d'ajouter une application.

Existe-t-il une solution ?

PJ.jpeg

Lien vers le commentaire
Partager sur d’autres sites

Bonjour

Reverse proxy  https://photo.ndd ==> iplocalenas:80

et faire un fichier  .htaccess:

RewriteEngine On


RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}


RewriteCond %{HTTP_HOST} ^photo.ndd$
RewriteRule ^$  https://photo.ndd/photo [L,R=301]

 

Il y a peut-être plus simple 🙄 A voir

Lien vers le commentaire
Partager sur d’autres sites

Merci @Thierry94. J'ai déjà mis en place une redirection du port 80 de la box vers le port 5000 du NAS. Ce n'est d'ailleurs pas tout à fait vrai puisque j'ai modifié le port 5000 par défaut et demandé une redirection du trafic HTTP vers HTTPS. Lorsque je tape l'URL monDomaine.fr sans autre précision, j'accède bien au NAS en HTTPS. Je voudrais faire la même chose pour Photo Station en indiquant MonDomaine.fr/photo mais il n'est pas possible d'établir deux redirections du même port sur la box 😀

Merci @Jeff777 mais le problème est que je voudrais éviter aux utilisateurs de devoir taper https:// afin de leur simplifier la vie. Mais peut-être ai-je mal compris tes explications de barbu. Depuis que je me suis planté dans les grandes largeurs en suivant un tutorial trop balèse pour moi, je me méfie 😀

L'idéal aurait été de définir un alias dans Portail des applications mais c'est malheureusement impossible. Pourquoi Photo Station n'y figure pas ? Mystère.

Lien vers le commentaire
Partager sur d’autres sites

J'ai lu ce tuto avec beaucoup d'attention et je l'ai appliqué sauf que dans le tuto, il n'y a pas de redirection du trafic HTTP vers HTTPS sur le NAS. De mémoire c'est au cas ou le trafic HTTPS serait bloqué. Comme je n'ai pas compris pourquoi les connexions HTTPS seraient bloquées mais pas les connexions HTTP, je ne l'ai pas appliqué sur ce point. De plus, il m'a semblé qu'autoriser le trafic HTTP pouvait poser problème.

Je suis équipé d'un NAS depuis un mois maintenant et j'essaye de faire au mieux par rapport à ma jeune expérience.

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

  1. Je crois que tu devrais suivre le conseil avisé précédent de @Jeff777 et d'ajouter un fichier ".htaccess" pour particulariser PhotoStation.
  2. As-tu aussi ajouté à la racine de WebStation le fichier "/web/index.php" dont parle Fenrir dans son tuto sur la sécurisation des accès ?
Citation

Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station). Si vous souhaitez profiter de la redirection sans casser le reverse proxy, le plus simple est de créer un petit fichier php à la racine de Webstation (/web/index.php) pour gérer cette redirection :


<?php
$http_host = $_SERVER['HTTP_HOST'];
// 307 Temporary Redirect
header("Location: https://$http_host",TRUE,307);
exit;
?>

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

 

il y a une heure, CyberFr a dit :

Merci @Jeff777 mais le problème est que je voudrais éviter aux utilisateurs de devoir taper https:// afin de leur simplifier la vie.

justement dans le fichier que je t'ai indiqué tu as une redirection http vers https. Tes utilisateurs peuvent même taper  phot.ndd   sans rien devant.

Par contre vérifie bien (voir le post d' @oracle7)que cette case est décochée sinon ça ne fonctionnera pas:

Capture.JPG.57921588696e29deaf950c56d2237304.JPG

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Merci à tous pour votre aide. Je vais relire vos explications au calme et tenter de les mettre en œuvre. Je reviens vers vous dés que ça marche (c'est  l'hypothèse optimiste) ou si j'ai des questions dont je ne trouve pas la réponse dans les différents tutos (c'est l'hypothèse la plus réaliste 😀).

Lien vers le commentaire
Partager sur d’autres sites

Dans photostation/paramètres généraux tu ne mets rien (dans les cases visibles dans ton premier post de ce sujet).

Le .php il fait la même chose que le .htaccess  pour la redirection en https mais il ne fait pas la redirection vers le répertoire photo.

Soit tu le complètes (mais je ne connais pas) et tu supprimes .htaccess  soit tu le supprimes (essaie simplement de changer l'extension en txt du .PHP pour faire un essai)

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Et avec photo.monDomaine.fr  aussi ??

il y a 50 minutes, CyberFr a dit :

Quand je tape photo.monDomaine.fr, la page est introuvable.

 

il y a 5 minutes, CyberFr a dit :

Dois-je renommer .htaccess ?

non surtout pas. .....Sauf si tu veux essayer le .php

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

  1. Pour commencer, saches que c'est une très très mauvaise idée et qu'il est extrêmement dangereux donc fortement déconseillé, de laisser le port 22 (SSH) ouvert aux quatre vents sur ta box comme tu le fais à la vue de ta copie d'écran. Ne t'étonnes pas si à court terme tu es piraté notamment par des chinois (les plus virulents mais pas qu'eux). Avec un NAS, tu es une cible de choix ! J'espère aussi pour toi que tu as bien configuré les règles de blocage sur ton NAS.
    Mais ce n'est qu'un conseil de sécurité, c'est toi qui vois ...
    Cela dit, tu peux cependant ouvrir le port 22 (et uniquement en cas de besoin) sur le NAS mais en aucun cas sur la box/routeur.
  2. Sinon tout bêtement :
    Il y a 2 heures, CyberFr a dit :

    Quand je tape photo.monDomaine.fr, la page est introuvable.

    Donc est-ce que tu as déclaré dans ta zone DNS de ton fournisseur de domaine un enregistrement de type CNAME pour "photo.domaine.fr" pointant vers "domaine.fr" ? Sinon cela pourrait expliquer cela puisque ta redirection dans le reverse proxy du NAS, semble bonne.

  3. De même le port 443 est-il ouvert sur ton NAS ? Sinon ton reverse proxy peut toujours écouter le port 443 sauf qu'il n'entendra rien si ce port est fermé.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7, le port 22 n'est pas accessible depuis l'internet mais uniquement sur le réseau local et d'ailleurs mon pare-feu ne contient aucune règle spécifique pour ce port.

Pare-feu.jpeg

J'ai bien suivi le tuto sur le reverse proxy @Jeff777. En attendant j'ai (une fois de plus) réinstallé DSM et régénéré une sauvegarde complète parce que je n'avais plus accès au NAS et ne savais pas comment débloquer la situation. Si ça continue, je vais être nommé rédac chef de la rubrique Sauvegarde et restauration de ces forums parce que, à force de pratiquer, je deviens un spécialiste du sujet 😀

Existe-t-il un livre sérieux sur les NAS Synology. Le seul que j'ai trouvé, écrit en américain, était un peu "Le NAS Synology pour les nuls" bien que faisant 400 pages. Je n'en ai pas tiré grand chose.

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

il y a 20 minutes, CyberFr a dit :

le port 22 n'est pas accessible depuis l'internet mais uniquement sur le réseau local et d'ailleurs mon pare-feu ne contient aucune règle spécifique pour ce port.

Je ne parlais pas de port 22 ouvert sur ton NAS MAIS bien sur ta box. C'est ce que l'on voit si je ne me trompe, au travers de la règle N°5 de NAT/PAT sur la copie d'écran que tu as fournie précédemment.

Par ailleurs, si cela ne marche pas mieux après la restoration d'une sauvegarde complète c'est que très certainement cette sauvegarde correspond à une configuration qui à l'origine n'était pas bonne. C'est peut être fastidieux j'en conviens mais il serait peut-être plus sage après une réinstallation propre de DSM (une n ième s'il en est) de reprendre la configuration manuellement sur la base des tutos (sécurisation des accès, reverse proxy, etc ...) présents sur ce forum et seulement ensuite, quand tout fonctionnera correctement alors tu pourras faire une sauvegarde complète. Maintenant ce que j'en dis ....

Par ailleurs, si tu limites sur ton NAS l'ouverture du port 443 à la France, alors tu n'auras pas accès à bon nombre de sites, bien que français, mais dont les serveurs sont à l'étranger. Cela peut aussi expliquer cela quant à tes problèmes ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Si, tout va bien après restauration de la sauvegarde complète. Je l'avais faite justement avant les modifications récentes et elle était saine.

Je n'ai ouvert le port 443 que pour Photo Station.

Pour ce qui est du port 22,si je ne le redirige pas sur la box, je ne pourrai plus me connecter en SSH. Où alors j'ai raté quelque chose. Je vais désactiver SSH sur le NAS et ne l'activerai qu'en cas de besoin. Je vais aussi changer le port par défaut.

Lien vers le commentaire
Partager sur d’autres sites

il y a 42 minutes, oracle7 a dit :

Par ailleurs, si tu limites sur ton NAS l'ouverture du port 443 à la France, alors tu n'auras pas accès à bon nombre de sites, bien que français, mais dont les serveurs sont à l'étranger.

Non ça ne limite rien du tout c'est le pare-feu du NAS pas celui du PC. J'ai limité à France UK car j'y vais de temps en temps et je n'ai aucun soucis. Par contre c'est une excellente pratique contre les attaques qui viennent souvent de pays asiatiques.

il y a 9 minutes, CyberFr a dit :

Je n'ai ouvert le port 443 que pour Photo Station.

Je ne comprends pas !!!! dans ce qui montre il est ouvert pour toutes les requêtes venanr de France.

Et pendant que j'y pense as-tu redirigé les ports 80 et 443 de ta box vers le nas? Edit je pense que oui d'après les réponses que tu obtiens mais...

il y a 9 minutes, CyberFr a dit :

Je vais aussi changer le port par défaut.

Moi je préfère garder les ports par défaut le différence en sécurité n'est pas énorme et surtout à l'usage on fait beaucoup moins d'erreurs.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 16 minutes, CyberFr a dit :

Pour ce qui est du port 22,si je ne le redirige pas sur la box, je ne pourrai plus me connecter en SSH

Ce que dit @oracle7 est vrai ton port 22 est ouvert sur la box et redirigé vers le nas. Et tu n'as pas besoin de cela pour faire du SSH en local.

il y a 21 minutes, CyberFr a dit :

Je vais désactiver SSH sur le NAS et ne l'activerai qu'en cas de besoin

ça c'est utile

il y a 24 minutes, Jeff777 a dit :

Moi je préfère garder les ports par défaut

Rectification pour le port SSH je l'ai fait. Mais c'est bien le seul.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Jeff777,

Concernant SSH, j'ai supprimé la redirection du port 22 sur la box, j'y accède désormais via l'IP locale en 192.168.1.XXX et non plus via l'adresse IP publique. J'ai par ailleurs modifié le port par défaut ne serait-ce que parce que le Conseiller de sécurité poste des alertes au motif que ce port n'a pas été modifié.

Puisque le port 22 n'est accessible qu'en local, quelle serait l'utilité de désactiver SSH quand on ne s'en sert pas ?

Concernant le port 443, il n'apparaît pas que je l'ai ouvert pour Photo Station. C'est parce que quand j'établis la règle à partir de cette application, le pare-feu autorise toutes les connexions TCP sans aucune précision de port.

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, CyberFr a dit :

Puisque le port 22 n'est accessible qu'en local, quelle serait l'utilité de désactiver SSH quand on ne s'en sert pas ?

Parce que tu peux  temporairement baisser la garde pour faire un test ouvrir ton pare-feu par exemple et oublier de  le remettre.

Donc une sécurité supplémentaire ça ne mange pas de pain. Je dis cela mais ça fait deux jours que mon SSH est activé à cause de tests mais effectivement pas avec le port 22 🤣

il y a 13 minutes, CyberFr a dit :

Concernant le port 443, il n'apparaît pas que je l'ai ouvert pour Photo Station. C'est parce que quand j'établis la règle à partir de cette application, le pare-feu autorise toutes les connexions TCP sans aucune précision de port.

Photostation est une application web. Dans sur les port 80 en http et 443 en https

Lien vers le commentaire
Partager sur d’autres sites

Je remercie @oracle7 qui a repéré un trou béant de sécurité et je te remercie @Jeff777 . Vous avez du mal à comprendre ce qui pour vous est une évidence mais qui pour un nouvel utilisateur est un monde nouveau. Avant je connaissais macOS et Windows, j'ai découvert DSM et le monde des réseaux qui pèsent tout aussi lourd.

Lien vers le commentaire
Partager sur d’autres sites

il y a 17 minutes, CyberFr a dit :

Vous avez du mal à comprendre ce qui pour vous est une évidence

Tu te trompes CyberFr car nous sommes tous passés par là et continuons à apprendre 😉

Au fait ton problème est-il résolu ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.