Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bon jour à tous 🙂

Je suis le tuto de Kawamashy concernant le paramétrage de reverse proxy. Malgré mes recherches (énormément de posts sur le sujet) je ne trouve pas la solution à mon soucis.

En suivant précieusement le déroulé préconisé, les premières étapes se passent bien (ndd chez OVH, routage box, parefeu, sélection de port dans portail des applications). Je parviens à afficher dans mon navigateur file station via l'adresse "http://192.168.x.xxx:45002". (nb: je suis http)

Maintenant lors de la mise en place du reverse proxy, j'obtiens le msg "impossible de se connecter à cette adresse, vérifier...) avec "https://fichiers.ndd.net/"

Je ne vois pas où j'ai pu faire une erreur : qqun peut-il me donner une piste svp .

Ci-dessous pj si utiles à la compréhension.

Amicalement
PascalG

 

 

 

 

Modifié par pascalg57
Posté(e) (modifié)

Dans ton firewall la règle qui autorise le 443 et le 80 et apres celle qui refuse tout ... pense à la mettre devant avant de reactiver les autres.

Chez ovh as tu un cname qui renvoi *.nas.ndd.tld vers nas.ndd.tld ?

Sur tes posts, avant d'inclure les captures écran, pense à masquer ton nom de domaine et ton adresse ip publique ( tu peux modifier ceux que tu as deja fait)

Modifié par Thierry94
Posté(e)

@Thierry94

Merci pour l'aide 🙂

Effectivement je serai attentif pour le pare-feu et le masquage des éléments privés.

J'ai cherché CNAME pour l'avoir lu dans le tuto mais comme il est dans la rubrique IP fixe, j'ai squeezé : donc oubli réparé et création chez OVH.

Comme indiqué sur la tuto, j'ai testé https://fichiers.ndd.net/ et j'ai obtenu le msg de sécurité attendu. Sans passer outre, retour sur création d'un certificat Let's Encrypt .
Une fois obtenu, en testant  j'ai un msg "Echec de la connexion sécuriée" . J'ai tenté en faisant "configurer" dans certificats et sélectionnant le certificat spécifique à Ndd.net juste créé uniquement pour fichiers.ndd.net : toujours le même échec de connexion.
J'ai également changé le certificat par défaut...sans succès 😞

Dans Firefox, en affichant les certificats enregistrés , je vois bien celui par défaut mais pas le dernier créé.

Voici captures écran en espérant que le masquage permette tout de même une bonne lecture.

parefeu.jpg

ff.jpg

Posté(e)

Pour etre sûr, quand tu indiques ndd.tld cela correspond bien à nas.pxxxxxx.net qui est le nom de domaine utilisé pour le dynhost chez ovh ?

Puisque tu as un nom de domaine qui te pointe vers ta box, à quoi te sert le xxxx.synologe.me ?

En fait tu as ton nom domaine ndd.tld p(nas.pxxxxxx.net) avec son dynhost qui pointe sur ta box.

Ton certificat Let'sEncrypt doit etre pour ce domaine avec en domaines supplementaires (à  ajouter lors de la création) tous les "sous-domaines" que tu souhaites utiliser, fichier.ndd.tld, .....

Avec ça  tu n'as qu'un seul certificat, qui couvre tous tes besoins, à renouveller ! Ne pas oublier de declarer ce certificat pour tous tes service sur ton nas.

Dans ta zone dns chez ovh il te faut ajouter le cname *.ndd.tld ver ndd.tld (tu peux aussi les déclarer individuellement par cname différent.

Ainsi tous les sous-domaine seront bien orientés vers ta box et pris en charge par un certificat.

Sur ton nas tu n'as plus qu'à mettre en place le reverse proxy pour chacun des sous-domaines à utiliser

Posté(e)
Il y a 3 heures, Thierry94 a dit :

Pour etre sûr, quand tu indiques ndd.tld cela correspond bien à nas.pxxxxxx.net qui est le nom de domaine utilisé pour le dynhost chez ovh ?

oui

Il y a 3 heures, Thierry94 a dit :

Puisque tu as un nom de domaine qui te pointe vers ta box, à quoi te sert le xxxx.synologe.me ?

je découvre l'univers synology  : j'ai dans un premier temps tenté la mise en place d'un domaine d'où ce xxxx.synology.me, inutile si je parviens à mettre en place le nom de domaine OVH

Il y a 3 heures, Thierry94 a dit :

Dans ta zone dns chez ovh il te faut ajouter le cname *.ndd.tld ver ndd.tld (tu peux aussi les déclarer individuellement par cname différent.

c'est fait, j'ai opté pour une déclaration avec le "*"  générique

 

Il y a 3 heures, Thierry94 a dit :

Ton certificat Let'sEncrypt doit etre pour ce domaine avec en domaines supplementaires (à  ajouter lors de la création) tous les "sous-domaines" que tu souhaites utiliser, fichier.ndd.tld, .....

Avec ça  tu n'as qu'un seul certificat, qui couvre tous tes besoins, à renouveller ! Ne pas oublier de declarer ce certificat pour tous tes service sur ton nas.

Ainsi tous les sous-domaine seront bien orientés vers ta box et pris en charge par un certificat.

Sur ton nas tu n'as plus qu'à mettre en place le reverse proxy pour chacun des sous-domaines à utiliser

c'est bien effectivement au niveau du certificat que se situe le souci puisque tu confirmes que les prérequis ont l'air OK. Je regarde à ceci demain car là boulot boulot !

Merci encore, bonne soirée
Amicalement
PascalG

Posté(e) (modifié)
il y a 17 minutes, Thierry94 a dit :

Si ce n'est pas encore fait regarde l'excellent tuto de @Fenrir sur la sécurisation des accès au NAS ... ici

yesss j'ai mis en place pas mal de chose déjà (c'est de là que vient mon ndd.synology.me). Mais il y a du taf !!! chaque pas en avant fait découvrir de nouvelles possibilités qui font avancer d'un nouveau pas etc... etc...

pour info voici une partie de mon ddns.conf donc cela semble ok coté déclaration de domaine

Annotation 2020-07-21 191552.jpg

Modifié par pascalg57
Posté(e) (modifié)

Dans le Dynhost chez OVH si tu retrouves bien ton adresse IP publique c'est que ça va !
Dans la zone dns si tu as un cname de *.ndd.tld vers ndd.tld ça va aussi !

Sur le NAS à vérifier pour le reverse proxy : décocher la case redirection auromatique http vers https dans les paramètres DSM.
Je crois aussi qu'il est préférable aussi d'avoir l'IP V6 désactivé (pas sûr mais dans le doute !)

Modifié par Thierry94
Posté(e) (modifié)

@Thierry94

bon jour 🙂

bon je refais une check-list :

OVH
- DNS >>> entrée A (60 : pointe sur IP actuelle) et entrée CNAME  *.ndd.tld envoie vers ndd.tld.
- DynHost >>> ndd.tld cible ip dynamique actuelle
(propagation ok)

BOX
- ports 443 et 80 redirigés respectivement 443.80 (pas logique cette présentation de interne en 1° et externe en second... j'aurais vu l'inverse voir pj)

PARE-FEU NAS
- 443 et 80, en TCP tout IP, autoriser

PORTAIL des applications
- règle déclarée pour file station port xxxxx : accès réussi en HTTP
- reverse proxy : fichiers.ndd.tld en HTTPS:443 renvoyé vers HTTP localhost: xxxxx (xxxx < port déclaré dans Applications)

!!! au test d'ouverture https://fichiers.ndd.tld, message immédiat échec de la connexion sécurisée (pas d'avertissement de sécurité préalable comme indiqué dans tuto.)

CERTIFICAT
- obtenu et activé par défaut, concerne fichiers.ndd.tld et ndd.tld MAIS  sous la ligne "pour" il n'y a rien de préciser (voir pj)

!!! au test d'ouverture https://fichiers.ndd.tld, message immédiat échec de la connexion sécurisée (pas d'avertissement de sécurité préalable comme indiqué dans tuto.)

pour info : IPV6 désactivé,  redirection http vers https décochée, cache de FF vidé

le souci ne vient-il pas du certificat mal établi ou qq chose comme ça ?

box.jpg.4b6e59270ba0ac1cbc513cd954adb093.jpg

Modifié par pascalg57
Posté(e) (modifié)

Ovh : si tu as une ip dynamique il ne faut pas enregistrement A dans ta zone Dns

Box : pour le routage nat le premier est le port d'arrivée sur la box (interne box) et le 2eme le port d'arrivée sur l'equipement cible (externe box) ... c'est logique ... ce qui arrive en 443 sur la box est renvoyé  sur le 443 du nas.

Certificat : sur le nas as tu vérifié que tu utilises bien le bon certificat dans les applications ? ( panneau de config, sécurité,  certificats, configurer)

Ps. tu as laissé ton nom de domaine sur les captures d'ecran !

Modifié par Thierry94
Posté(e) (modifié)
Il y a 5 heures, pascalg57 a dit :

!!! au test d'ouverture https://fichiers.ndd.tld, message immédiat échec de la connexion sécurisée (pas d'avertissement de sécurité préalable comme indiqué dans tuto.

Bonjour,

Les tests ce font bien à distance?

Car en local cela ne marche pas (sauf si la box gère le loopback ou mettre en place un Serveur DNS...)

Modifié par maxou56
Posté(e)

@Thierry94 et @maxou56

bon jour 🙂

une fois le paramétrage correctement réalisé (merci Thierry94) c'est maxou56 qui a donné l'info bien utile : les tests étaient faits en local.

En passant par les données mobiles, connexion réussie.... pff c'est terrible l'ignorance du débutant 😞

Pour avancer, il existe un tuto à conseiller concernant Loopback ou la mise en place d'un serveur DNS ?

Merci à vous deux

Bonne soirée
PascalG

Posté(e) (modifié)

D'après la capture ci-dessous c'est une livebox 🤕

Le 22/07/2020 à 12:33, pascalg57 a dit :

box.jpg.4b6e59270ba0ac1cbc513cd954adb093.jpg

Donc mettre en place un serveur DNS (ce qui entraine la modification du DNS dans la livebox) à pour effet secondaire que le décodeur TV ne fonctionnera plus. (idem si on touche a son serveur DHCP)

Modifié par maxou56
Posté(e) (modifié)

Oui effectivement en modifiant manuellement le DNS sur les différents appareils (mais c'est pas vraiment top comme solution).

Normalement il suffirait de modifier le DNS dans le serveur DHCP de la Livebox pour indiquer celui du serveur DNS.

 

@Thierry94

Question Hors sujet, tu as la Livebox 4 avec le firmware 3.73.10?

Si oui chez toi le NAT/PAT ou le DMZ fonctionne?
 

Modifié par maxou56
Posté(e) (modifié)

Oui mais malheureusement pas possible sur la box d'orange, sans effets colateraux ! Mais je ne sais pas si les box des autres fai le permettent.

J'ai la livebox 4 fibre mais je ne sais pas quel firmware (car pas chez moi), le nat/pat fonctionne bien, je n'utilise pas la dmz.

Modifié par Thierry94
Posté(e) (modifié)

Je viens de verifier j'ai le firmware 3.73.10

Ce qu'il faudrait reussir à faire serait d'avoir 2 serveurs dhcp actifs, celui de la box qui ne gérerait que le décodeur tv et celui du nas qui prendrait en charge le reste du réseau ... mais je n'ai pas encore trouvé  si faisable et comment paramétrer tout ça !

Modifié par Thierry94
Posté(e)
Il y a 4 heures, Thierry94 a dit :

Cool ...

Oui pour la mise en place de DNS Serveur ici ... encore un très bon tuto de @Fenrir
Tu fais tout ce qui est indiqué avant "Zone DNS publique"

je regarde ceci ce we ...pour ma culture générale.

 

Il y a 2 heures, maxou56 a dit :

D'après la capture ci-dessous c'est une livebox 🤕

Donc mettre en place un serveur DNS (ce qui entraine la modification du DNS dans la livebox) à pour effet secondaire que le décodeur TV ne fonctionnera plus. (idem si on touche a son serveur DHCP)

Intéressant  votre échange, j'ai une livebox 5 fibre et le dernier décodeur, je verrai ce qu'il en est

Merci encore et bonne fin de semaine

Amicalement
PascalG

Posté(e)
Il y a 12 heures, Thierry94 a dit :

Je viens de verifier j'ai le firmware 3.73.10

Ce qu'il faudrait reussir à faire serait d'avoir 2 serveurs dhcp actifs, celui de la box qui ne gérerait que le décodeur tv et celui du nas qui prendrait en charge le reste du réseau ... mais je n'ai pas encore trouvé  si faisable et comment paramétrer tout ça !

Il faut utiliser les VLAN et des switchs administrables pour ça.

Posté(e)

@pascalg57

Bonjour,

Je te confirme les propos de @.Shad. , VLAN et switchs administrables : c'est impératif !

C'est typiquement l'installation que j'ai faite. Tu trouveras le détail du comment faire ici. Mais lis bien tous les échanges de ce post. J'avais même fait un schéma pour clarifier les choses.

Cordialement

oracle7😏

Posté(e)
Il y a 8 heures, oracle7 a dit :

@pascalg57

Bonjour,

Je te confirme les propos de @.Shad. , VLAN et switchs administrables : c'est impératif !

C'est typiquement l'installation que j'ai faite. Tu trouveras le détail du comment faire ici. Mais lis bien tous les échanges de ce post. J'avais même fait un schéma pour clarifier les choses.

Cordialement

oracle7😏

super !!! merci à toi... y a du taf, en tout cas pour moi 😄

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.