Redirection automatique vers https

[pascalg57]

Bon jour à tous 🙂

J'ai un DS918+ , dernières maj faites pour DSM et chacun des paquets. Installation et mise en service réalisées en suivant divers tutos ici, en place un reverse proxy. En exploitation opérationnelle depuis plusieurs mois sans aucun souci, apparent.

L'accès en https est opérationnel (certificat renouvelé chaque 3 mois automatiquement).

Mon souci concerne la redirection de http vers https.
Lorsque je tape mon.ndd dans la barre d'adresse je suis envoyé vers http://mon.ndd et donc une connexion non sécurisée.
Il faut que je précise https://mon.ndd pour une connexion sécurisée.

Ceci me semble être un comportement normal. Comme préconisé par ce tuto  :

Installation de WebStation et mise en place d'une redirection, comme préconisée par .htacess

Je ne comprends pas pourquoi la redirection ne se fait pas. En fait je ne comprends pas non plus comment Web Station peut avoir ce résultat.

Auriez-vous une idée, une direction vers laquelle chercher ?

PascalG

Modifié le 14 avril 2021 par pascalg57

[CyberFr]

Ça ne te consolera pas mais ça marche chez moi.

Quand tu tapes http.ndd tu arrives bien sur le site Web ?

Ton fichier .htaccess se trouve bien à la racine du dossier web de Web Station ? Il a été sauvegardé avec le bon nom précédé d'un point ?

[pascalg57]

Merci pour ton aide @CyberFr

Quand je tape http://mon.ndd j'arrive bien sur le site mais en connexion non sécurisée.
Lorsque je tape https://mon.ndd j'ai bien une connexion sécurisée.

voici pour .htaccess :

 

Savoir que cela fonctionne chez toi confirme que c'est la bonne façon de faire, c'est déjà ça 🙂

 

[CyberFr]

Pourrais-tu fournir une image de ce à quoi tu accèdes en tapant http://ndd ? Parce que si je tapes simplement www.ndd, j'accède à mon site Web en HTTPS. De même pour http://ndd.

Voici comment se présente le contenu du dossier web chez moi. Et en effet cela ressemble au tien.

Question bête mais le port 80 est bien routé par ta box et ouvert dans ton pare-feu ? En principe, si ton pare-feu est bien configuré (Se reporter à l'excellent tuto Sécuriser les accès à son NAS de @Fenrir) il est toujours ouvert en local mais il faut l'ouvrir explicitement pour les accès distants en le limitant à la France par exemple pour minimiser les risques dans un premier temps.

[goerges]

Salut,

Moi j'ai fait différemment, j'ai créé dans le répertoire web principal un fichier index.php contenant le code suivant:

<?php
// 307 Temporary Redirect
$http_host=$_SERVER['HTTP_HOST'];
switch ($http_host) {
        case "photostation.my_ndd.com":
               header("Location: https://$http_host/photo",TRUE,307);
               break;
        default:
               header("Location: https://$http_host:443",TRUE,307);
        }       
exit;
?>

Il contient aussi le code pour envoyer le ndd de Photostation directement vers ndd/photo.

Ca fonctionne très bien.

 

Georges

[pascalg57]

@Georges merci pour ton aide...J'ai vu cette possibilité effectivement dans le tuto. J'ai l'impression que mon Web Station est inopérant. J'ai bien peur que si le .htaccess n'est pas lu, mon index.php soit ignoré également.

Mais je vais regarder cette possibilité avec attention. Je te tiens au courant.

Merci

PascalG

[Kramlech]

Est-ce que dans Web Station, tu as bien Apache comme serveur principal ?

Parce que si tu as Nginx comme serveur principal, il est normal que le .htaccess ne fonctionne pas !

[pascalg57]

Il y a 3 heures, CyberFr a dit :

Pourrais-tu fournir une image de ce à quoi tu accèdes en tapant http://ndd ? Parce que si je tapes simplement www.ndd, j'accède à mon site Web en HTTPS. De même pour http://ndd.

Voici comment se présente le contenu du dossier web chez moi. Et en effet cela ressemble au tien.

Question bête mais le port 80 est bien routé par ta box et ouvert dans ton pare-feu ? En principe, si ton pare-feu est bien configuré (Se reporter à l'excellent tuto Sécuriser les accès à son NAS de @Fenrir) il est toujours ouvert en local mais il faut l'ouvrir explicitement pour les accès distants en le limitant à la France par exemple pour minimiser les risques dans un premier temps.

en tapant mon.ndd j'arrive sur le bureau DSM directement mais sans connexion sécurisée > barre d'adresse navigateur : mon.ndd [équivalent à http://mon.ndd]

en tapant https://mon.ndd j'arrive au même endroit mais ici en connexion sécurisée > barre d'adresse navigateur : https://mon.ndd

Tu voudrais quoi comme image ? celui du bureau DSM ?

M80 est bien routé à priori puisque entre autres, le renouvellement de mon certificat est opérationnel.

question subsidiaire qui pourrait m'aider à comprendre : comment affiches-tu ton index.html dans ton navigateur ...quelle adresse donnes-tu ?

 

il y a 15 minutes, Kramlech a dit :

Est-ce que dans Web Station, tu as bien Apache comme serveur principal ?

Parce que si tu as Nginx comme serveur principal, il est normal que le .htaccess ne fonctionne pas !

Merci pour ton aide 🙂 @Kramlech

Je me suis mis dans la même configuration que toi :

 

j'ai arrêté et relancé Web Station, sans succès apparemment : 

 

Modifié le 14 avril 2021 par pascalg57

[pascalg57]

il y a 57 minutes, goerges a dit :

Salut,

Moi j'ai fait différemment, j'ai créé dans le répertoire web principal un fichier index.php contenant le code suivant:

<?php
// 307 Temporary Redirect
$http_host=$_SERVER['HTTP_HOST'];
switch ($http_host) {
        case "photostation.my_ndd.com":
               header("Location: https://$http_host/photo",TRUE,307);
               break;
        default:
               header("Location: https://$http_host:443",TRUE,307);
        }       
exit;
?>

Il contient aussi le code pour envoyer le ndd de Photostation directement vers ndd/photo.

Ca fonctionne très bien.

 

Georges

Je viens d'insérer ce code que j'ai récupérer dans le tuto de Fenrir dans index.php mais sans succès

<?php
$http_host = $_SERVER['HTTP_HOST'];
// 307 Temporary Redirect
header("Location: https://$http_host",TRUE,307);
exit;
?>

[oracle7]

@pascalg57

Bonjour,

Dans Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy et cela va à l'encontre du fichier .htaccess qui est là justement pour faire la redirection.

Cordialement

oracle7😉

[pascalg57]

il y a 37 minutes, oracle7 a dit :

@pascalg57

Bonjour,

Dans Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy et cela va à l'encontre du fichier .htaccess qui est là justement pour faire la redirection.

Cordialement

oracle7😉

Hello merci pour ton aide @oracle7

J'ai veillé à ce point particulier: il n'est pas coché 😞 

Je suis quasi certain que ce souci est nouveau et que auparavant cela fonctionnait...je ne teste pas ça tous les jours; Je l'ai découvert aujourd'hui par hasard.

Possible que cela provienne en suite de maj de paquet ?

Modifié le 14 avril 2021 par pascalg57

[CyberFr]

Tu devrais te pencher sur le fait que Web Station est inaccessible, que ce soit en HTTP ou HTTPS. http://ndd devrait t'y mener de même que https://ndd ou www;ndd. C'est à se demander si Web Station est actif.

Normalement, pour atteindre le bureau de DSM, il faut taper ndd:5000, ou ndd:5001, en tout cas le port que tu as attribué à DSM. Je ne comprends même pas que tu puisses accéder au bureau sans aucune indication de port.

[pascalg57]

il y a 7 minutes, CyberFr a dit :

Tu devrais te pencher sur le fait que Web Station est inaccessible, que ce soit en HTTP ou HTTPS. http://ndd devrait t'y mener de même que https://ndd ou www;ndd. C'est à se demander si Web Station est actif.

Normalement, pour atteindre le bureau de DSM, il faut taper ndd:5000, ou ndd:5001, en tout cas le port que tu as attribué à DSM. Je ne comprends même pas que tu puisses accéder au bureau sans aucune indication de port.

Effectivement je pense que Web Station est inaccessible ou qq chose dans le style...peut-être suite à mise à jour comme dit plus haut.

Question simple : si tu veux afficher ton index.html de Web Station tu donnes quoi comme adresse ?

Pour le port, je n'ai plus la réponse là de suite mais je sais que c'est un fonctionnement normal (reverse proxy ou autre paramétrage...)

Merci encore pour ton attention

[Jeff777]

Bonjour @pascalg57

Comme t'a dit Cyberfr

il y a 17 minutes, CyberFr a dit :

http://ndd devrait t'y mener de même que https://ndd ou www;ndd.

 

[oracle7]

@pascalg57

Bonjour,

Juste pour mieux comprendre, tu peux STP nous mettre une copie d'écran de ton pare-feu du NAS ?

Cordialement

oracle7😉

[pascalg57]

@oracle7

voici :

Voici

 

 

il y a une heure, Jeff777 a dit :

Bonjour @pascalg57

Comme t'a dit Cyberfr

 

Merci pour ton aide @Jeff777

je ne comprends pas le sens de ta remarque.

http://ndd et https://ndd m'envoient bien vers le bureau de DSM mais http sans connexion sécurisée ... c'est bien le souci que je rencontre : je n'ai pas de redirection vers https bien que à priori la redirection soit faite au travers de Web Station 😐

Modifié le 14 avril 2021 par pascalg57

[Jeff777]

il y a une heure, pascalg57 a dit :

http://ndd et https://ndd m'envoient bien vers le bureau de DSM

C'est bien cela qui parait bizarre. Tu dis que http://mon.ndd et http://ndd mènent au dsm. Peux-tu nous dire comment tu as paramétré le proxy inverse qui mène au dsm ?

Autre question as-tu paramétré une zone locale (avec DNS serveur).

 

Modifié le 14 avril 2021 par Jeff777

[oracle7]

@pascalg57

Bonjour,

il y a une heure, pascalg57 a dit :

je ne comprends pas le sens de ta remarque.

Rassures-toi, je voulais juste m'assurer de l'ouverture des ports 80 et 443. Tout est presque OK par ailleurs. En effet, par sécurité je t'invite à mettre le masque 255.255.255.0 au lieu de 255.255.0.0 pour ton sous-réseau local 192.168.0.0 car cela m'étonnerait beaucoup (mais je peux me tromper) que tu gères plus de 65534 machines sur ton sous-réseau, donc en réduisant à 254 machines cela n'est-il pas suffisant ?

Juste pour vérifier ce qui se passe en "amont" est bien conforme :

• Que donne un nslookup ndd.tld 8.8.8.8 ? est-ce que tu obtiens bien ton @IPexterne (ie celle de ta box) ?
• Idem quand tu fais http://@IPExterne:5000 tu atteins bien ton NAS ?
• As-tu une @IP externe fixe ou dynamique ? Si dynamique ton DDNS pointe-t-il bien sur ton @IPexterne ? d'ailleurs ton DDNS est de quelle forme : ddns.ndd.tld ou ndd.tld ?

Cordialement

oracle7😉

[MilesTEG1]

En lisant vos échanges je pense que le soucis est au niveau du reverse proxy.

@pascalg57fait nous des captures de ton reverse proxy , en masquant ton nom de domaine , mais en faisant aussi des captures des paramètres des différentes entrées dans le reverse proxy.

 

[Jeff777]

Il y a 3 heures, MilesTEG1 a dit :

En lisant vos échanges je pense que le soucis est au niveau du reverse proxy.

oui ou peut-être une zone locale mal paramétrée si elle existe.

[MilesTEG1]

il y a 50 minutes, Jeff777 a dit :

oui ou peut-être une zone locale mal paramétrée si elle existe.

ah oui aussi, toutafé 🙂

[pascalg57]

Bon jour à tous 🙂

Un grand merci pour vos retours et aide.

Je vais tenter de répondre aux mieux à vos questions malgré mes connaissances bien limitées 😞

Amicalement

PascalG

 

[pascalg57]

@oracle7

Je vais rectifier le masque pour mon sous-réseau en effet 😉

 

nslookup ndd.tld 8.8.8.8 me renvoie mon IP externe 86.216.XX.XXX 🙂

 

http://@IPExterne:5000 me renvoie l'erreur de chargement délai d'attente dépassée (qq soit le port renseigné) 😞

 

http://@IPExterne transforme en https://@IPExterne et me renvoie sur l'index.html en mode NON sécurisé 😐

 

@IPExterne est dynamique (OVH) elle pointe bien vers la bonne IP . Je ne comprends pas la nuance ddns.ndd.tld ou ndd.tld . J'ai envie de répondre ndd.tld car c'est la même renseignée chez OVH et dans DDNS

 

                                                                                            

Est-ce que cela t'éclaire un peu 😄

[.Shad.]

il y a 5 minutes, pascalg57 a dit :

http://@IPExterne:5000 me renvoie l'erreur de chargement délai d'attente dépassée (qq soit le port renseigné) 😞

Ben faut pas faire la moue, c'est plutôt une bonne nouvelle, ça veut dire que tu n'as pas translaté le port 5000 de ton routeur vers ton NAS, ce qui est normal si tu comptes passer par le proxy inversé.

il y a 6 minutes, pascalg57 a dit :

http://@IPExterne transforme en https://@IPExterne et me renvoie sur l'index.html en mode NON sécurisé 😐

Ca c'est très bien aussi, ça veut dire que ton port 80 est, lui, bien translaté, et que la redirection HTTP -> HTTPS est fonctionnelle.
Le routeur reçoit une demande sur le port 80 (HTTP) via l'IP publique, il translate au NAS, Apache écoute le port 80, et upgrade le protocole HTTP vers HTTPS via le .htaccess

Donc Webstation fonctionne et tes redirections également.

Le 14/04/2021 à 10:50, pascalg57 a dit :

Il faut que je précise https://mon.ndd pour une connexion sécurisée.

A priori ton proxy inversé fonctionne correctement (on s'entend bien que mon.ndd correspond à une entrée de ton proxy inversé ?)

Dernier écueil possible, la résolution DNS à l'intérieur de ton réseau local.

Que donne :

nslookup mon.ndd

Et depuis le NAS en SSH :

cat /etc/resolv.conf

Idéalement, si tu peux aussi mettre une impression d'écran de l'entrée du proxy inversé correspondant à mon.ndd comme l'a demandé @MilesTEG1, ça permettra de s'assurer que tout est bon de ce côté-là.

[pascalg57]

@.Shad.

Mon proxy inversé n'est pas correct j'ai l'impression en effet. J'ai toujours eu un doute mais comme je ne voyais pas où cela coinçait je ne savais pas quoi faire.

Dans nom de l'hôte lorsque je renseigne mon.ndd il refuse (voir photo cadre rouge). J'ai placé un sous-domaine fichiers.mon.ndd sans trop savoir ce que je faisais pour rendre la validation possible et avancer.

 

 

 

En suivant le tuto, j'ai changé le port en 45002 (pas vraiment utile maintenant je le sais) pour mon.ndd mais comme dit précédemment

http://mon.ndd:45002 me renvoie un délai dépassé

 

 

  

Voici mon certificat qui reprend bien mon.ndd et un sous domaine fichiers.mon.ndd

 

 

  

nsloock mon.ndd renvoie à mon IP Externe

 

 

Je ne sais pas où trouver  cat /etc/resolv.conf  J'ai trouvé un resolv.conf dans répertoire "etc" voici son contenu :

nameserver             192.168.1.1

nameserver             fe80::d6f8:29ff:fe3f:2960

domain   home

 

 

 

 

Modifié le 15 avril 2021 par pascalg57