Aller au contenu

Redirection automatique vers https


Messages recommandés

Bon jour à tous 🙂

J'ai un DS918+ , dernières maj faites pour DSM et chacun des paquets. Installation et mise en service réalisées en suivant divers tutos ici, en place un reverse proxy. En exploitation opérationnelle depuis plusieurs mois sans aucun souci, apparent.

L'accès en https est opérationnel (certificat renouvelé chaque 3 mois automatiquement).

Mon souci concerne la redirection de http vers https.
Lorsque je tape mon.ndd dans la barre d'adresse je suis envoyé vers http://mon.ndd et donc une connexion non sécurisée.

Il faut que je précise https://mon.ndd pour une connexion sécurisée.

Ceci me semble être un comportement normal. Comme préconisé par ce tuto  :

Installation de WebStation et mise en place d'une redirection, comme préconisée par .htacessimage.thumb.png.520a05d4b4880570c92943f9c7b962d0.png

Je ne comprends pas pourquoi la redirection ne se fait pas. En fait je ne comprends pas non plus comment Web Station peut avoir ce résultat.

Auriez-vous une idée, une direction vers laquelle chercher ?

PascalG

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

Merci pour ton aide @CyberFr

Quand je tape http://mon.ndd j'arrive bien sur le site mais en connexion non sécurisée.
Lorsque je tape https://mon.ndd j'ai bien une connexion sécurisée.

voici pour .htaccess :

image.png.253107788080017bfd21831486719c10.png

 

Savoir que cela fonctionne chez toi confirme que c'est la bonne façon de faire, c'est déjà ça 🙂

 

Lien vers le commentaire
Partager sur d’autres sites

Pourrais-tu fournir une image de ce à quoi tu accèdes en tapant http://ndd ? Parce que si je tapes simplement www.ndd, j'accède à mon site Web en HTTPS. De même pour http://ndd.

Voici comment se présente le contenu du dossier web chez moi. Et en effet cela ressemble au tien.

Question bête mais le port 80 est bien routé par ta box et ouvert dans ton pare-feu ? En principe, si ton pare-feu est bien configuré (Se reporter à l'excellent tuto Sécuriser les accès à son NAS de @Fenrir) il est toujours ouvert en local mais il faut l'ouvrir explicitement pour les accès distants en le limitant à la France par exemple pour minimiser les risques dans un premier temps.

PJ.jpeg

Lien vers le commentaire
Partager sur d’autres sites

Salut,

Moi j'ai fait différemment, j'ai créé dans le répertoire web principal un fichier index.php contenant le code suivant:

<?php
// 307 Temporary Redirect
$http_host=$_SERVER['HTTP_HOST'];
switch ($http_host) {
        case "photostation.my_ndd.com":
               header("Location: https://$http_host/photo",TRUE,307);
               break;
        default:
               header("Location: https://$http_host:443",TRUE,307);
        }       
exit;
?>

Il contient aussi le code pour envoyer le ndd de Photostation directement vers ndd/photo.

Ca fonctionne très bien.

 

Georges

Lien vers le commentaire
Partager sur d’autres sites

@Georges merci pour ton aide...J'ai vu cette possibilité effectivement dans le tuto. J'ai l'impression que mon Web Station est inopérant. J'ai bien peur que si le .htaccess n'est pas lu, mon index.php soit ignoré également.

Mais je vais regarder cette possibilité avec attention. Je te tiens au courant.

Merci

PascalG

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, CyberFr a dit :

Pourrais-tu fournir une image de ce à quoi tu accèdes en tapant http://ndd ? Parce que si je tapes simplement www.ndd, j'accède à mon site Web en HTTPS. De même pour http://ndd.

Voici comment se présente le contenu du dossier web chez moi. Et en effet cela ressemble au tien.

Question bête mais le port 80 est bien routé par ta box et ouvert dans ton pare-feu ? En principe, si ton pare-feu est bien configuré (Se reporter à l'excellent tuto Sécuriser les accès à son NAS de @Fenrir) il est toujours ouvert en local mais il faut l'ouvrir explicitement pour les accès distants en le limitant à la France par exemple pour minimiser les risques dans un premier temps.

PJ.jpeg

en tapant mon.ndd j'arrive sur le bureau DSM directement mais sans connexion sécurisée > barre d'adresse navigateur : mon.ndd [équivalent à http://mon.ndd]

en tapant https://mon.ndd j'arrive au même endroit mais ici en connexion sécurisée > barre d'adresse navigateur : https://mon.ndd

Tu voudrais quoi comme image ? celui du bureau DSM ?

M80 est bien routé à priori puisque entre autres, le renouvellement de mon certificat est opérationnel.

question subsidiaire qui pourrait m'aider à comprendre : comment affiches-tu ton index.html dans ton navigateur ...quelle adresse donnes-tu ?

 

il y a 15 minutes, Kramlech a dit :

Est-ce que dans Web Station, tu as bien Apache comme serveur principal ?

image.png.a1ffbc91ee0419840832a52f91b2552b.png

Parce que si tu as Nginx comme serveur principal, il est normal que le .htaccess ne fonctionne pas !

Merci pour ton aide 🙂 @Kramlech

Je me suis mis dans la même configuration que toi : image.png.5163f217d05470f070b7defc386e6812.png

image.png.3460f71e0372926088cb6cf0dbc922a2.png

 

j'ai arrêté et relancé Web Station, sans succès apparemment image.png.999e2ca27b1904cf0ce33fe0c835a3f9.png

 

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

il y a 57 minutes, goerges a dit :

Salut,

Moi j'ai fait différemment, j'ai créé dans le répertoire web principal un fichier index.php contenant le code suivant:

<?php
// 307 Temporary Redirect
$http_host=$_SERVER['HTTP_HOST'];
switch ($http_host) {
        case "photostation.my_ndd.com":
               header("Location: https://$http_host/photo",TRUE,307);
               break;
        default:
               header("Location: https://$http_host:443",TRUE,307);
        }       
exit;
?>

Il contient aussi le code pour envoyer le ndd de Photostation directement vers ndd/photo.

Ca fonctionne très bien.

 

Georges

Je viens d'insérer ce code que j'ai récupérer dans le tuto de Fenrir dans index.php mais sans succès

<?php
$http_host = $_SERVER['HTTP_HOST'];
// 307 Temporary Redirect
header("Location: https://$http_host",TRUE,307);
exit;
?>
Lien vers le commentaire
Partager sur d’autres sites

@pascalg57

Bonjour,

Dans Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy et cela va à l'encontre du fichier .htaccess qui est là justement pour faire la redirection.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 37 minutes, oracle7 a dit :

@pascalg57

Bonjour,

Dans Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy et cela va à l'encontre du fichier .htaccess qui est là justement pour faire la redirection.

Cordialement

oracle7😉

Hello merci pour ton aide @oracle7

J'ai veillé à ce point particulier: il n'est pas coché 😞 

Je suis quasi certain que ce souci est nouveau et que auparavant cela fonctionnait...je ne teste pas ça tous les jours; Je l'ai découvert aujourd'hui par hasard.

Possible que cela provienne en suite de maj de paquet ?

image.png

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

Tu devrais te pencher sur le fait que Web Station est inaccessible, que ce soit en HTTP ou HTTPS. http://ndd devrait t'y mener de même que https://ndd ou www;ndd. C'est à se demander si Web Station est actif.

Normalement, pour atteindre le bureau de DSM, il faut taper ndd:5000, ou ndd:5001, en tout cas le port que tu as attribué à DSM. Je ne comprends même pas que tu puisses accéder au bureau sans aucune indication de port.

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, CyberFr a dit :

Tu devrais te pencher sur le fait que Web Station est inaccessible, que ce soit en HTTP ou HTTPS. http://ndd devrait t'y mener de même que https://ndd ou www;ndd. C'est à se demander si Web Station est actif.

Normalement, pour atteindre le bureau de DSM, il faut taper ndd:5000, ou ndd:5001, en tout cas le port que tu as attribué à DSM. Je ne comprends même pas que tu puisses accéder au bureau sans aucune indication de port.

Effectivement je pense que Web Station est inaccessible ou qq chose dans le style...peut-être suite à mise à jour comme dit plus haut.

Question simple : si tu veux afficher ton index.html de Web Station tu donnes quoi comme adresse ?

Pour le port, je n'ai plus la réponse là de suite mais je sais que c'est un fonctionnement normal (reverse proxy ou autre paramétrage...)

Merci encore pour ton attention

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

voici :

Voici image.png.ed73bce9f923e64d7dfbe4d94aaa4c9a.png

 

 

il y a une heure, Jeff777 a dit :

Bonjour @pascalg57

Comme t'a dit Cyberfr

 

Merci pour ton aide @Jeff777

je ne comprends pas le sens de ta remarque.

http://ndd et https://ndd m'envoient bien vers le bureau de DSM mais http sans connexion sécurisée ... c'est bien le souci que je rencontre : je n'ai pas de redirection vers https bien que à priori la redirection soit faite au travers de Web Station 😐

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, pascalg57 a dit :

http://ndd et https://ndd m'envoient bien vers le bureau de DSM

C'est bien cela qui parait bizarre. Tu dis que http://mon.ndd et http://ndd mènent au dsm. Peux-tu nous dire comment tu as paramétré le proxy inverse qui mène au dsm ?

Autre question as-tu paramétré une zone locale (avec DNS serveur).

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@pascalg57

Bonjour,

il y a une heure, pascalg57 a dit :

je ne comprends pas le sens de ta remarque.

Rassures-toi, je voulais juste m'assurer de l'ouverture des ports 80 et 443. Tout est presque OK par ailleurs. En effet, par sécurité je t'invite à mettre le masque 255.255.255.0 au lieu de 255.255.0.0 pour ton sous-réseau local 192.168.0.0 car cela m'étonnerait beaucoup (mais je peux me tromper) que tu gères plus de 65534 machines sur ton sous-réseau, donc en réduisant à 254 machines cela n'est-il pas suffisant ?

Juste pour vérifier ce qui se passe en "amont" est bien conforme :

  • Que donne un nslookup ndd.tld 8.8.8.8 ? est-ce que tu obtiens bien ton @IPexterne (ie celle de ta box) ?
  • Idem quand tu fais http://@IPExterne:5000 tu atteins bien ton NAS ?
  • As-tu une @IP externe fixe ou dynamique ? Si dynamique ton DDNS pointe-t-il bien sur ton @IPexterne ? d'ailleurs ton DDNS est de quelle forme : ddns.ndd.tld ou ndd.tld ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Je vais rectifier le masque pour mon sous-réseau en effet 😉

 

nslookup ndd.tld 8.8.8.8 me renvoie mon IP externe 86.216.XX.XXX 🙂

 

http://@IPExterne:5000 me renvoie l'erreur de chargement délai d'attente dépassée (qq soit le port renseigné) 😞

 

http://@IPExterne transforme en https://@IPExterne et me renvoie sur l'index.html en mode NON sécurisé 😐

 

@IPExterne est dynamique (OVH) elle pointe bien vers la bonne IP . Je ne comprends pas la nuance ddns.ndd.tld ou ndd.tld . J'ai envie de répondre ndd.tld car c'est la même renseignée chez OVH et dans DDNS

 

                                                                                            

Est-ce que cela t'éclaire un peu 😄

image.jpeg

a2.jpg

Inkeda3_LI.jpg

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, pascalg57 a dit :

http://@IPExterne:5000 me renvoie l'erreur de chargement délai d'attente dépassée (qq soit le port renseigné) 😞

Ben faut pas faire la moue, c'est plutôt une bonne nouvelle, ça veut dire que tu n'as pas translaté le port 5000 de ton routeur vers ton NAS, ce qui est normal si tu comptes passer par le proxy inversé.

il y a 6 minutes, pascalg57 a dit :

http://@IPExterne transforme en https://@IPExterne et me renvoie sur l'index.html en mode NON sécurisé 😐

Ca c'est très bien aussi, ça veut dire que ton port 80 est, lui, bien translaté, et que la redirection HTTP -> HTTPS est fonctionnelle.
Le routeur reçoit une demande sur le port 80 (HTTP) via l'IP publique, il translate au NAS, Apache écoute le port 80, et upgrade le protocole HTTP vers HTTPS via le .htaccess

Donc Webstation fonctionne et tes redirections également.

Le 14/04/2021 à 10:50, pascalg57 a dit :

Il faut que je précise https://mon.ndd pour une connexion sécurisée.

A priori ton proxy inversé fonctionne correctement (on s'entend bien que mon.ndd correspond à une entrée de ton proxy inversé ?)

Dernier écueil possible, la résolution DNS à l'intérieur de ton réseau local.

Que donne :

nslookup mon.ndd

Et depuis le NAS en SSH :

cat /etc/resolv.conf

Idéalement, si tu peux aussi mettre une impression d'écran de l'entrée du proxy inversé correspondant à mon.ndd comme l'a demandé @MilesTEG1, ça permettra de s'assurer que tout est bon de ce côté-là.

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Mon proxy inversé n'est pas correct j'ai l'impression en effet. J'ai toujours eu un doute mais comme je ne voyais pas où cela coinçait je ne savais pas quoi faire.

Dans nom de l'hôte lorsque je renseigne mon.ndd il refuse (voir photo cadre rouge). J'ai placé un sous-domaine fichiers.mon.ndd sans trop savoir ce que je faisais pour rendre la validation possible et avancer.

 

a2.jpg.c4d3eb76468cb94f92a9097d6a2d9371.jpg

 

a1.jpg.7afb34f9f617cd7f5f577214d1fa604c.jpg

 

En suivant le tuto, j'ai changé le port en 45002 (pas vraiment utile maintenant je le sais) pour mon.ndd mais comme dit précédemment

http://mon.ndd:45002 me renvoie un délai dépassé

a3.jpg.d3a81fa20bab92b1ab0b4a3447fb6d50.jpg

 

 

  

Voici mon certificat qui reprend bien mon.ndd et un sous domaine fichiers.mon.ndd

 

a4.jpg.f5fbfc131b73c4a5364f6673dcf4ebdc.jpg

 

  

nsloock mon.ndd renvoie à mon IP Externe

 

 

Je ne sais pas où trouver  cat /etc/resolv.conf  J'ai trouvé un resolv.conf dans répertoire "etc" voici son contenu :
nameserver             192.168.1.1
nameserver             fe80::d6f8:29ff:fe3f:2960
domain   home

 

 

a3.jpg

 

a4.jpg

 

a1.jpg

a1.jpg

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.