Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bonjour à tous,

J'ai un nom de domaine avec un certificat LE. 

J'ai mis en place le proxy inversé et le serveur DNS en suivant les tutos sur ce forum.

Lorsque je passe par des PC Windows sur le réseau local (Wifi ou Ethernet) en mettant https://nas.ndd.fr, tout fonctionne parfaitement bien. Je tombe de suite sur la page d'accueil DSM avec mon certificat LE.

Le proxy inversé est configuré https://nas.ndd.fr (port 443) => http://192.168.1.201:5000 et l'option "rediriger les connections http vers https n'est pas cochée.

Pour le Serveur DNS, un "nslookup -querytype=NS nas.ndd.fr 192.168.1.201" me renvoie bien vers le ns.ndd.fr

 

Par contre, sur les smartphones et une tablette Android connectés en Wifi sur le réseau local, j'arrive a accéder à la page d'accueil DSM via l'adresse IP du NAS  en http ou https, mais par le nom de domaine, c'est impossible : Le message : "ce site est inaccessible" avec une erreur de connection "time out" ou "aborted" 

Je ne sais pas comment je peux tester le nslookup sur android, car les appareils ne sont pas rootés.

D'avance, merci pour votre aide.

Modifié par PatrickBt
Posté(e)

Vérifie que ton smartphone reçoit bien les DNS, sur certaines marques (OnePlus par exemple) les DNS de Google sont hardcodés, et il faut envoyer au moins deux serveurs DNS via le DHCP pour s'en débarrasser.

Tu peux voir ça dans les propriétés de ton WiFi :

Screenshot_20210204-091946.thumb.png.14098055a98400e00641ded7c35846c1.png

Posté(e) (modifié)

Je n'ai pas autant d'informations que toi sur mes 3 appareils. Le plus complet est une galaxy tab avec la version 11 d'android.

Screenshot_20210204-094457_Settings.thumb.jpg.b1f21d576d42116d0e5efdefedf488da.jpg

J'ai tenté aussi de désactivé le DHCP et passer la passer en ip fixe auquel je lui mets l'adresse DNS 1 : 192.168.1.201 et DNS 2 : 8.8.8.8, mais après enregistrement, le DNS 1  est toujours 8.8.8.8 

 

Edition : Rectification, après redémarrage de la tablette le DNS 1 est bien 192.168.1.201, mais toujours pas de connexion possible via le nom de domaine.

Modifié par PatrickBt
Posté(e) (modifié)
Il y a 2 heures, .Shad. a dit :

les DNS de Google sont hardcodés, et il faut envoyer au moins deux serveurs DNS via le DHCP pour s'en débarrasser.

Quand tu dis envoyer, c'est configurer 2 serveurs DNS  ? C'est ce que tu as sur ton image en 151 et un autre en 161. Tu as 2 NAS chez toi avec chacun une configuration de serveur DNS pour faire cela ?

Et ensuite, sur la box et le routeur en DNS tu lui mets ces 2 adresses ?

Sur ma box, en DNS, je n'ai indiqué que le 1 avec 192.168.1.201.

Modifié par PatrickBt
Posté(e)

Mon DHCP envoie 2 serveurs DNS Pi-hole redondants, en cas d'arrêt de l'un l'autre prend le relais.
Mais maintenant que j'y pense, ça devrait marcher même avec les DNS de Google, juste tu passerais par ton IP publique au lieu de ton IP locale.
Tu ne devrais pas avoir d'erreur.

Pour nslookup pas besoin de rooter ton smartphone, tu télécharges Termux, c'est gratuit, sur Playstore, c'est un terminal bash classique.
Quand tu taperas nslookup il te dira d'installer un paquet, tu suis les instructions, et tu tapes :

nslookup nas.ndd.tld IP_locale_serveur_DNS

 

Posté(e) (modifié)

Merci,

En passant par mon IP publique, je pense que çà ne devrait pas fonctionner étant donné que je n'ai pas ouvert le port 443 sur la box, mais juste sur le pare feu du nas, mais je viens d'ouvrir le port 443 sur la box, mais çà ne fonctionne toujours pas.

Le nslookup nas.ndd.fr 192.168.1.201 renvoie bien vers le nom "ns.ndd.fr"  avec l'adresse ip privée du nas sur mon smartphone. Je suis surpris que le serveur DNS fonctionne sur le smartphone dans ce cas là !

Cela veut dire que ce n'est pas les DNS qui sont en cause du problème d'accès sur Android ?

Modifié par PatrickBt
Posté(e) (modifié)
il y a 17 minutes, PatrickBt a dit :

En passant par mon IP publique, je pense que çà ne devrait pas fonctionner étant donné que je n'ai pas ouvert le port 443 sur la box, mais juste sur le pare feu du nas, mais je viens d'ouvrir le port 443 sur la box, mais çà ne fonctionne toujours pas.

Ouvert et redirigé vers le NAS ? Ce n'est pas normal, à moins d'avoir mis en place des ACL (Liste de contrôle d'accès en français) dans le proxy inversé, mais je doute que tu l'aies fait.

il y a 17 minutes, PatrickBt a dit :

Le nslookup nas.ndd.fr 192.168.1.66 renvoie bien vers le nom "ns.ndd.fr"  avec l'adresse ip privée du nas sur mon smartphone. Je suis surpris que le serveur DNS fonctionne sur le smartphone dans ce cas là !

Ca veut juste dire qu'il arrive à contacter le serveur DNS, peux-tu vérifier que tu retrouves bien ton serveur DNS locale comme serveur DNS dans les propriétés de ta connexion Wifi ? Je viens de voir que tu avais mis une image, j'avais loupé un message. 😉 

il y a 17 minutes, PatrickBt a dit :

Cela veut dire que ce n'est pas les DNS qui sont en cause du problème d'accès sur Android ?

Je penche plutôt pour un problème autre effectivement, qui vient soit de ton smartphone, soit si par exemple il utilise l'IPv6 et que sur ton NAS elle n'est pas activée.

Il faut déjà que tu arrives à résoudre le problème d'accès par l'extérieur.

Modifié par .Shad.
Posté(e)
il y a 12 minutes, .Shad. a dit :

Ouvert et redirigé vers le NAS ? Ce n'est pas normal, à moins d'avoir mis en place des ACL (Liste de contrôle d'accès en français) dans le proxy inversé, mais je doute que tu l'aies fait.

Je n'ai pas mis en place d'ACL dans le proxy inversé, mais mon port 443 de la box est bien ouvert vers le NAS.

il y a 13 minutes, .Shad. a dit :

Ca veut juste dire qu'il arrive à contacter le serveur DNS, peux-tu vérifier que tu retrouves bien ton serveur DNS locale comme serveur DNS dans les propriétés de ta connexion Wifi ?

Dans les propriétés des connexions wifi (sur les 3 appareils Android de la maison), je n'ai pas beaucoup d'informations; Pas autant que toi sur ton écran. Et surtout pas les DNS.

Screenshot_20210204-111637_Settings.thumb.jpg.549ab877245d7d4991c82699e297ec78.jpg

il y a 15 minutes, .Shad. a dit :

Je penche plutôt pour un problème autre effectivement, qui vient soit de ton smartphone, soit si par exemple il utilise l'IPv6 et que sur ton NAS elle n'est pas activée.

J'ai pensé aussi à l'IPV6 car çà ne serais pas la 1ere fois qu'il me poserais problème (renouvellement certificat LE via DSM).

Effectivement sur le NAS, l'ipv6 était désactivé, le l'ai donc réactivé. Dans la box free, le pare-feu ipV6 était aussi activé, je l'ai désactivé, mais toujours pas d'accès à mes noms de domaine via android. Même après avoir vidé le cache du navigateur.

 

Posté(e) (modifié)
il y a 43 minutes, .Shad. a dit :

Je viens de voir que tu avais mis une image, j'avais loupé un message. 😉 

Je viens de télécharger l'appli network info ii et les DNS utilisé sur mon wifi sont DNS1 192.168.1.201 et DNS2 0.0.0.0

.Shad. En passant, merci pour ton aide et du tout que tu y passes. 👍

155456811_Screenshot_20210204-114546_NetworkInfoII.thumb.jpg.d7fa55b8bca9b7e2f14b9be87a9f3f80.jpg

Modifié par PatrickBt
Posté(e)

Autre piste, le NAS, je l'ai mis en IP fixe en dehors de la plage d'adresses de la box qui gère le DHCP. 

Peut-être que c'est préférable de fixer une adresse statique au nas sur la freebox ? Je ne sais pas si çà peut avoir une incidence sur mon problème Android.

Posté(e)

Une petite nouveauté, la tablette a réussi à se connecter à l'interface du NAS, mais çà n'a duré que 5 minutes environ.

Je ne vois pas trop pourquoi çà a fonctionner pendant ce laps de temps étant donné que je n'ai fais aucune modification des paramètres le temps du fonctionnement. Il y avait juste la tablette qui fonctionnait pendant les 5 mn, pas les smartphones.

Posté(e) (modifié)
Il y a 5 heures, PatrickBt a dit :

Autre piste, le NAS, je l'ai mis en IP fixe en dehors de la plage d'adresses de la box qui gère le DHCP. 

Peut-être que c'est préférable de fixer une adresse statique au nas sur la freebox ?

Oui, mais ça n'a pas d'effet dans le cas présent.

Attend, ton serveur DNS c'est celui du NAS ? Pourquoi tu as une IP en 192.168.1.201 et 192.168.1.66 ? je n'ai pas compris.

Modifié par .Shad.
Posté(e) (modifié)
il y a 6 minutes, .Shad. a dit :

Attend, ton serveur DNS c'est celui du NAS ? Pourquoi tu as une IP en 192.168.1.201 et 192.168.1.66 ? je n'ai pas compris.

Oui, le serveur DNS est celui du NAS. l'IP du NAS est bien la 192.168.1.201.

Quand j'ai indiqué l'IP .66 c'est une erreur de ma part. Je vais modifier cette erreur dans mes messages. Désolé pour ce méli-mélo d'adresse IP. C'est bien 192.168.1.201.

Modifié par PatrickBt
Posté(e) (modifié)

Avant de se poser la question de l'accès via le smartphone en WiFi, je pense qu'il faudrait résoudre le problème de l'accès externe depuis ton smartphone en 4G.
Si tu fais sur Termux :

nslookup nas.ndd.tld 8.8.8.8

Tu obtiens quoi ? ton IP publique ?

Modifié par .Shad.
Posté(e) (modifié)

Oui, j'obtiens bien mon nom de domaine ovh et mon ip publique

 

Edition :

et de l'extérieur, dans un navigateur, je mets mon adresse ip publique, il m'affiche la page web de web station avec le certificat LE.

Dans le reverse proxy, j'ai configuré https www.ndd.fr 443 => http localhost 80

Par contre, avec le nom de domaine direct https://www.ndd.fr çà ne veut rien faire

Modifié par PatrickBt
Posté(e)

Si tu mets ton IP publique ça ne passe pas par le proxy inversé, forcément, car celui-ci se base sur le nom de domaine pour faire ses redirections.

Pour ton problème je vois mal comment t'aider plus personnellement, il faudrait voir en détail chaque point de ta configuration.

Posté(e) (modifié)
Il y a 10 heures, .Shad. a dit :

Si tu mets ton IP publique ça ne passe pas par le proxy inversé, forcément, car celui-ci se base sur le nom de domaine pour faire ses redirections.

Oui je comprends, ce sont les zones DNS configurées sur OVH.

Il y a 10 heures, .Shad. a dit :

Pour ton problème je vois mal comment t'aider plus personnellement, il faudrait voir en détail chaque point de ta configuration.

Je comprends cela aussi. C'est compliqué sans être devant la configuration. 

Je te remercie d'avoir passé du temps sur mon problème.

Je vais repasser l'ensemble de la configuration point par point en relisant les tutos correspondants.

Bonne soirée.

Modifié par PatrickBt
Posté(e)

Bonjour, 

Après avoir passé plusieurs heures à comprendre mon problème afin de me connecter de l'extérieur avec un nom de domaine (proxy reverse), j'ai fini par me résoudre à repartir de zéro, donc réinitialiser le nas et la freebox.

Après ces deux réinitialisations "usine", il s'avère que je n'arrive toujours pas à me connecter de l'extérieur au NAS avec un nom de domaine.

Si je saisie mon ip publique dans un navigateur, je tombe bien sur la page web mise en place avec web station avec un avertissement de sécurité (logique).

La Freebox pop : Je ne touche pas à la configuration par défaut de la box hormis la redirection des ports vers la NAS (pour info, le firewall ipv6 désactivé par défaut après un reset usine) 

Le NAS : Configuration de base en suivant le tuto sécuriser le NAS et installation d'un certificat LE avec le tuto acme et docker. Dans ma précédente configuration j'avais mis en place le DNS Serveur. Dans cette nouvelle config, pas de DNS Serveur d'installer. Je n'ai pas désactiver l'Ipv6 sur le LAN du NAS.

Je vous mets ci-dessous toutes les configurations effectuées :

Dans ce message, il faut surtout s'intéresser à l'adresse https://fichier.ndd.fr qui doit ouvrir l'application "File Station"

1/ La configuration des zones DNS chez Ovh

0.jpg.df55e264cb14b14bb23b4f0d79e7fae2.jpg

 

2/ Je configure la box :

1.jpg.606b627ec0b790392564352b8882802f.jpg

3/ Je configure le pare feu du NAS

2.jpg.4b14d4afbc84e434429c03851763ea81.jpg

4/ Je teste l'ouverture du port 443 => OK

3.jpg.6bfe3ff8c0f17b6a0bba08c1dd458f5d.jpg

 

5/ Port par défaut et pas de redirection http vers https

4.jpg.c5b2f9dcfe79790db2d87920d83ddbf9.jpg

 

6/ Le certificat LE

5.jpg.3b9742834933f682a7c6716f61d0b656.jpg

 

7/ Les applications

6.jpg.d04156970321fdfe95408cbb2e9c8e52.jpg

 

8/ Le proxy inversé

8.jpg.cca588d1cb6e7c55251d99b1fffb50ac.jpg

 

7.jpg.6bd64cf40f8d47ebd908093a2253d61a.jpg

9/ Test nslookup => OK

10.jpg.c4218298655708e65cf8c27a9df62a56.jpg

 

10/ Test du résultat sur l'adresse https://fichier.ndd.fr (testé avec vivaldi, edge et firefox : résultat idem) => KO

9.thumb.jpg.20e4a6bd8edf9e0e931718460baa1089.jpg

 

J'ai essayé de faire et refaire mais rien n'y fait et je ne sais plus quoi y faire ou que faire de plus ou de mieux 🙄.

SI vous y voyez une erreur dans mon paramétrage, merci de me le dire .

Je me demande si ce ne serait pas un problème avec la box, mais le test du port à l'air ouvert au point "4". Existe-t-il un autre moyen de tester ce port 443 s'il est bien ouvert.

Merci d'avance pour vos remarques et votre aide, car sur ce coup je désespère un peu et même beaucoup.

Patrick

 

  • PatrickBt a modifié le titre en Accessibilité du NAS par le nom de domaine (Proxy Reverse)
Posté(e) (modifié)

@PatrickBt

Bonjour,

1 - Dans le pare-feu du NAS, ouvres les ports 5000 et 5001 à tous.

2 - As-tu vidé le cache de ton navigateur ?

3 - Juste pour être sûr, ton @IP externe est bien fixe, O/N ?

4 - Comme tu utilises le reverse proxy, as-tu bien installé le package WebStation et ajouté au dossier "/volume1/web" un fichier ".htaccess" comme expliqué dans le TUTO reverse proxy ?

Cordialement

oracle7😉

 

Modifié par oracle7
Posté(e)

@oracle7 Bonjour

1 et 2/ Après ouverture des ports 5000 et 5001 (je suppose, pas 5501), test sur Vivaldi avec cache vidé, toujours KO.

3/ Mon adresse ip est bien en full stack.

4/ Oui, la package a bien été installé de la même manière que sur le tuto Proxy Reverse avec le fichier ".htaccess" à la racine du répertoire "web" avec ces 3 lignes :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} et ces 3 lignes

12.jpg.1a052e7e68c07e3baa3463cfab10d690.jpg

 

 

Edition :  Les ports 5000 et 5001, je les ais ouvert en TCP et seulement sur le NAS, pas la box, c'est bien çà ?

 

Posté(e) (modifié)

Tout est bon dans ton paramétrage (bémol sur le TTL des enregistrements de ta zone OVH, 0 signifie qu'il n'y a pas de refresh, tu peux mettre une heure ou un jour).

Mon pronostic : ta freebox pop expose son interface sur les ports 80 et 443, du coup la redirection de port vers le NAS n'est pas prise en compte. Ça expliquerait le fait que le port est vu comme ouvert. Et si tu n'as pas autorisé les connexions distantes dans ta box, ça pourrait expliquer le timeout. Les demandes n'arrivent jamais au proxy. Il essaierait tout simplement d'accéder à distance à ta box, qui le refuse évidemment.

C'est juste une idée, je n'ai pas de Freebox, mais investigue de ce côté-là. Il n'y a en tout cas rien à modifier dans ta configuration, tout est parfait.

Modifié par .Shad.
Posté(e) (modifié)

@.Shad.

Bonjour,

Le 07/02/2021 à 17:39, .Shad. a dit :

bémol sur le TTL des enregistrements de ta zone OVH, 0 signifie qu'il n'y a pas de refresh, tu peux mettre une heure ou un jour

En théorie, OUI tu as tout à fait raison mais chez OVH la valeur "0" affichée correspond en fait au TTL par défaut pour la zone DNS qui est fixée elle à 3600 sec.

J'ai exactement la même chose pour bon nombre d'enregistrements que je n'ai pas forcés manuellement. On peux très bien aussi modifier ce TTL par défaut :

 

Cordialement

oracle7😉

Modifié par oracle7
Posté(e)

Merci à vous deux.

Pour le TTL, j'ai forcé à 3600.

S'il y a un autre utilisateur de Freebox ici qui se sert du reverse proxy, comment est configuré la box en redirection de ports ? çà doit être juste une redirection du 443 en tcp vers le Nas, non ? Il y a une autre option sur l'interface de la Freebox à activer ?

J'ai testé quelques trucs sur la box, genre activer l'authentification par mot de passe et ensuite redirigé le port https utilisé (41860) vers le port 443, mais rien n'y fait.

J'ai aussi essayé d'utiliser des ports bien plus élevés, genre 49153 et de l'ouvrir aussi sur la nas et avec un test sur Open port checker, il me met que le port est fermé. Pas normal, il devrait paraitre ouvert.

Un autre test, sur la box, le port 443 redirigé vers le NAS et sur le pare feu du Nas, ce port fermé. Open port checker me dit port fermé. Sur le pare feu du Nas, j'ouvre le port. Open port checker me dit port ouvert. 

Je pense à un autre test, mais que je ne pourrais pas faire avant le we prochain. Allez chez mes parents avec le NAS et mon portable et tester avec leur box.

Quelque part, je ne compte pas, à terme, laisser ouvert les ports 80 ou 443 sur la box, car si je me connecte de l'extérieur j'utiliserais un vpn, mais j'aimerais bien résoudre ce problème.

Bonne soirée à vous.

Posté(e)

@PatrickBt

Bonjour,

Dans la box, il te faut transférer les ports 80 et 443 vers respectivement les mêmes ports sur ton NAS.

Vis à vis de tes tests de ports, il te faut savoir ceci :

  • Les tests d'ouverture ports ne sont pas fiables, car ils ne vérifient pas l'ouverture du port, mais la réponse du service/appareil connecté à ce port.

  • Si le port est bien fermé on a un message du type : "Reason: Connection timed out", par contre sur un port ouvert mais dont le service ne répond pas, le message est du type : "Reason: Connection refused".

il y a 8 minutes, PatrickBt a dit :

Quelque part, je ne compte pas, à terme, laisser ouvert les ports 80 ou 443 sur la box,

 A mon humble avis c'est une fausse bonne idée car par exemple (non exhaustif !) :

  • Si tu fermes le port 80, tu n'auras plus aucun accès au Web et surtout tu ne pourras plus renouveler tes certificats Let'sEncript qui eux ont absolument besoin que ce port soit ouvert en plus vers les USA où se trouvent leurs serveurs.
  • Si tu fermes le port 443, ton éventuel proxy inversé ne sera plus opérationnel, donc difficile voire impossible de te connecter avec des URL du type xxxxx.ndd.tld vers tes applications internes du NAS.

Maintenant ce que j'en dis ... C'est toi qui vois ...

Cordialement

oracle7😉

Posté(e) (modifié)
il y a 43 minutes, oracle7 a dit :

A mon humble avis c'est une fausse bonne idée car par exemple (non exhaustif !) :

  • Si tu fermes le port 80, tu n'auras plus aucun accès au Web et surtout tu ne pourras plus renouveler tes certificats Let'sEncript qui eux ont absolument besoin que ce port soit ouvert en plus vers les USA où se trouvent leurs serveurs.
  • Si tu fermes le port 443, ton éventuel proxy inversé ne sera plus opérationnel, donc difficile voire impossible de te connecter avec des URL du type xxxxx.ndd.tld vers tes applications internes du NAS.

Maintenant ce que j'en dis ... C'est toi qui vois ...

Le certificat, j'ai utilisé la méthode avec acme sur docker. Je ne sais plus si le port 80 était activé sur la box à ce moment là.

Pour le port 443,si j'installe le seveur DNS sur le NAS, je ne devrais plus en avoir besoin sur la box ? Enfin, je ne suis plus sur de rien.

Ces configurations de ports sont quand même compliqués. Je m'occupe du service informatique dans mon entreprise, mais je ne suis pas informaticien de métier, mais çà me passionne et çà m'énerve aussi parfois 😄

 

il y a 43 minutes, oracle7 a dit :

Dans la box, il te faut transférer les ports 80 et 443 vers respectivement les mêmes ports sur ton NAS.

Vis à vis de tes tests de ports, il te faut savoir ceci :

  • Les tests d'ouverture ports ne sont pas fiables, car ils ne vérifient pas l'ouverture du port, mais la réponse du service/appareil connecté à ce port.

     

  • Si le port est bien fermé on a un message du type : "Reason: Connection timed out", par contre sur un port ouvert mais dont le service ne répond pas, le message est du type : "Reason: Connection refused".

Donc le message d'erreur du navigateur veut bien dire que le port 443 est fermé.

C'est possible qu'il y ai un problème avec la box ? défaut ? Bogue, mais çà devrait être pour tout le monde ?

 

 

Modifié par PatrickBt

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.