Aller au contenu

Messages recommandés

Posté(e)
Le 22/06/2021 à 16:06, Kramlech a dit :

Déjà essayé avec NGINX ... Exactement le même comportement ...

Mais est-ce que quelqu'un a déjà réussi à faire un contrôle d'accès sur une seule IP locale ?

Déjà dit que sa soit des ip locale ou distante sans soucis… qui plus est mettre des ip localhost… aucun intérêt…

Posté(e)
Il y a 4 heures, Einsteinium a dit :

mettre des ip localhost… aucun intérêt…

Pour rappel, l'idée initiale était de tester les profils d'accès, et pour ne pas risquer de bloquer tout le monde (madame pour plus de précisions !!!), je voulais faire mes tests uniquement sur l'IP de mon PC (ce qui semblait possible à la lecture de la doc).

C'est suite à mes divers échecs que j'ai ouvert ce sujet. Cela m'a permis de trouver la solution pour faire des profil d'accès liés au réseau interne.

Donc au final, je pourrais dire que le sujet est réglé ... sauf que :

  1. La documentation indique qu'il est possible de faire porter un contrôle d'accès sur une seule IP
  2. Il semble que certain y soient arrivés
  3. Ça ne marche pas chez moi...

Cela semble donc vouloir dire qu'il y a un problème dans ma configuration. Et toute ma vie professionnelle de développeur informatique, j'ai du me battre contres des personnes qui, lorsqu'elle rencontraient un problème, refusaient d'essayer de le résoudre et se satisfaisaient de solutions de contournement.

Mon expérience m'a démontré qu'un problème qu'on n'arrive pas à résoudre (même s'il n'est pas grave et qu'on arrive à le contourner) est souvent le symptôme d'un dysfonctionnement non identifié et que peut avoir de graves conséquences.  

C'est pourquoi, même si cela peut ne paraitre qu'une gymnastique intellectuelle sans intérêt, j'aimerai comprendre ...

:pufff:   mais pourquoi ça ne marche pas   !!! :huh:

Posté(e) (modifié)

Petit retour. Je n'ai pas compris pourquoi le contrôle d'accès en local ne fonctionnait pas en IPV6 sur ma tablette android (déconnexion du nas2) . Pourtant j'arrive bien à la joindre en faisant un ping -6 sur son adresse stateless. 

Par contre j'ai trouvé une parade, j'ai ajouté l'adresse locale IPV4 du nas1 dans ma zone locale "ns.ndd A 192.168.1.10".

( @Kramlech bon c'est vrai que c'est une solution de contournement mais je vais continuer à travailler dessus 😉)

 

Modifié par Jeff777
Posté(e)

@Kramlech J'ai fait le test chez moi, ça fonctionne avec une seule IP, avec ou sans CIDR (/32).
Peux-tu vérifier si les fichiers dans Nginx sont corrects par rapport à ta configuration ?

cat /etc/nginx/sites-enabled/server.ReverseProxy.conf

Dans /etc/nginx/conf.d tu dois avoir tes différents profils d'ACL sous forme de fichier conf, si tu peux vérifier aussi que c'est cohérent avec ce que dit l'interface de DSM.

Posté(e) (modifié)

@.Shad.

  1. Je n'utilise pas Nginx, mais Apache
  2. J'ai déjà essayé avec Nginx, mais ça ne marche pas mieux
  3. Je n'ai pas de fichier server.ReversesProxy.conf ...

Je crois que je vais laisser tomber jusqu'à ce que je passe en DSM 7. J'ai prévu de reprendre une bonne partie de ma config à cette occasion. Je referai les tests à ce moment là ...

Mais je ne désespère toujours pas !!!

Modifié par Kramlech
Posté(e)

J'ai testé avec une seule IP que ce soit via Apache ou Nginx, ça fonctionne dans les deux cas.
Le problème est donc de ton côté.

Posté(e)

@Kramlech

Bonjour,

Il y a 5 heures, .Shad. a dit :

Peux-tu vérifier si les fichiers dans Nginx sont corrects par rapport à ta configuration ?


cat /etc/nginx/sites-enabled/server.ReverseProxy.conf

Chez moi, en fait, le fichier "server.ReverseProxy.conf" se trouve dans :

/etc/nginx/app.d/server.ReverseProxy.conf

mais après examen difficile de dire ce qui est bon ou pas dans son contenu. Je retrouve bien toutes mes entrées de reverse proxy avec leurs paramètres saisis dans l'IHM DSM mais pour les autres paramètres, je ne saurais dire car je n'y comprends rien 🥴

Si qq'un peut expliquer, il sera le bienvenu ...

Cordialement

oracle7😉

Posté(e)
il y a une heure, oracle7 a dit :

je ne saurais dire car je n'y comprends rien 🥴

Moi non plus🙄 Par contre j'ai bien le fichier "server.ReverseProxy.conf" à l'endroit indiqué pae @.Shad.

Posté(e)

@.Shad.

Bonjour,

Sais-tu STP nous expliquer pourquoi ce fichier "server.ReverseProxy.conf" selon l'installation, on le trouve dans des répertoires différents ?

La quelle est la bonne ?

Au quel cas comment se replacer correctement ?

Il y a quelque chose de spécial à faire coté nginx ?

Cordialement

oracle7😉

Posté(e)
il y a une heure, oracle7 a dit :

Sais-tu STP nous expliquer pourquoi ce fichier "server.ReverseProxy.conf" selon l'installation, on le trouve dans des répertoires différents ?

 

@oracle7
Au passage à DSM7, j'ai constaté que l'emplacement de ce fichier avait changé.
Voilà des commentaires de mon script qui permet de faire fonctionner les notifications websocket pour Vaultwarden :

# Note : avec DSM7, le chemin d'accès du fichier server.ReverseProxy.conf a changé
#         DSM6.2  = /etc/nginx/app.d/server.ReverseProxy.conf
#         DSM7    = /etc/nginx/sites-enabled/server.ReverseProxy.conf

Pourquoi ce changement... aucune idée.

 

Sinon je te rejoins sur le fait que le language nginx est un peu obscure/abscons...

Posté(e)

@oracle7 Oui les emplacements sont différents sur DSM 7 et 6.
Je pense que ça ne sert pas spécialement de vérifier car visiblement @Kramlech a un problème que personne n'arrive à reproduire. Donc il doit avoir un souci quelque part.

Posté(e)

Bon et bien toute cette histoire de Profils d'accès m'a donné l'idée de tenter moi aussi l'exépérience 🙂

J'ai créé une entrée pour DSM dans mon reverse proxy (jusque là, je ne pouvais y accéder qu'avec l'IP LAN du NAS en local donc, pas depuis internet 😉 ), et j'ai mis ça comme règles de profil d'accès :
bdjpUJh.png

J'ai aussi fait une réécriture DNS dans AdGuard Home de *.mon-ndd.tld vers l'ip du NAS (en fait elle était déjà présente 😉 ).
J'ai aussi affecté le certificat wildcard de mon ndd à ce nouveau service créé dans le reverse-proxy.

Verdict : depuis mon PC fixe (donc LAN) j'accède bien à DSM avec cette adresse, mais depuis une connexion 4G, c'est bloqué, et j'ai le message suivant :
"Désolé, la page que vous recherchez est introuvable."

Nickel 😄 

Merci pour cette discussion qui m'a permis de faire fonctionner ceci 😛 

Il me reste plus qu'à faire la même chose sur l'autre NAS et sur mon routeur 😉 

Posté(e)

@.Shad. @oracle7 @Jeff777
Salut à vous 🙂 

Bon, j'ai un léger soucis avec Firefox et mes noms de domaines sur lesquels j'ai mis le profil d'accès actif (restriction aux IP LAN).

Il arrive que firefox me retourne l'erreur "Désolé, la page que vous recherchez est introuvable.".
Alors que l'instant d'avant tout fonctionnait très bien... Je n'ai pas ce soucis avec Edge...

Avec Firefox, c'est comme si des fois la résolution du DNS ne passait plus par mon AdGuardHome qui réécrit l'URL en IP LAN du NAS. Et donc à ce moment là, la connexion vient de l'extérieur du LAN, puisque la résolution DNS passe par le routeur et donc par 1.1.1.1 ou 9.9.9.9 (vu que sa configuration est mise comme ça).
Je précise que le serveur DHCP du routeur donne l'IP de mon conteneur AdGuardHome en DNS principal, et celle du routeur en DNS secondaire (assurant un accès à internet si jamais mon conteneur AdGuard plantait ou était HS).

 

Si vous avez une idée du pourquoi le souci n'apparait qu'avec Firefox ?

Bon WE

Posté(e)
il y a une heure, Einsteinium a dit :

Tu n’as pas l’ipv6 actif ou un proxy à tout hasard ?

Non pas d’ipv6 et j’ai le reverse proxy du nas actif, ça compte ?

il y a une heure, .Shad. a dit :

Quand tu rencontres le problème, fais un nslookup pour vérifier quel serveur répond.

Le soucis c’est que quand ça deconne sous Firefox, ça fonctionne bien dans edge, et ça fonctionne en navigation privée dans Firefox…

Posté(e)

L'ipv6 est bien désactivé dans le NAS, dans le routeur et dans AdGuard Home.


Je viens de faire un nslookup plusieurs fois de suite, et j'ai vu deux choses :

  • l'ip de AdGuard Home en tant que resolver
  • l'ip du routeur en tant que resolver

Je suis sur que ça vient de là mon soucis...
Mais pourquoi ça déconne uniquement dans Firefox (navigation privée incluse contrairement à ce que j'ai dit avant), et pas dans Edge... car quand ça ne fonctionne plus dans Firefox, dans Edge aucun soucis... faudrait que je vérifie avec Safari si ça re-déconne...

La résolution des noms domaines passent parfois par le DNS secondaire...
je viens d'augmenter le nombre de requêtes par secondes que peut avoir le AdGuardHome... mais je suis pas sur que ça change grand chose...

Posté(e) (modifié)

Donc c'est un problème lié à ton navigateur. Essaie de faire Shift+F5 quand ça plante avec Firefox.

EDIT : Il faut uniquement envoyer l'IP de Adguard, sinon ça peut passer par le secondaire, et forcément ça ne fonctionne plus.

Modifié par .Shad.
Posté(e)
il y a 2 minutes, .Shad. a dit :

Donc c'est un problème lié à ton navigateur. Essaie de faire Shift+F5 quand ça plante avec Firefox.

EDIT : Il faut uniquement envoyer l'IP de Adguard, sinon ça peut passer par le secondaire, et forcément ça ne fonctionne plus.

Ok, je tenterais un MAJ+F5.

Et pour le DNS secondaire, c'est que si jamais AdGuard ne fonctionne plus, ou que je suis en train de le mettre à jour, j'ai plus de résolution DNS si je ne mets que le DNS Primaire.

Me faudrait peut-être un AdGuard de secours...
Je vais virer le DNS secondaire pour un temps, et voir si ça gêne beaucoup (ma femme va vite râler si c'est le cas...)

Posté(e)

Si tu as un Raspberry tu l'installes aussi dessus. Moi j'ai deux Pi-hole pour justement éviter la perte de résolution lors du redémarrage de l'un ou l'autre des périphériques.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.