Aller au contenu

Portail des Applications vs Reverse Proxy


Messages recommandés

Bonjour a tous

Dans le but de remettre à plat les différentes manières d'accéder à mon NAS, je m’aperçois qu'avec le temps j'ai mis en place deux manières d'accéder aux applications du NAS.

La première, c'est en utilisant le portail des applications. Ce portail permet définir trois type d'accès à une application du NAS :

  1. Par un alias personnalisé, ce qui permet d'accéder via une URL de type https://<monNDD>/<alias>
  2. Par un port, ce qui permet d'accéder via une URL de type https://<monNDD>:<port>
  3. Par un domaine personnalisé, ce qui permet d'accéder via une URL de type https://<alias>.<monNDD>. C'est systématiquement ce type d'accès que j'utilise.

La deuxième, c'est en utilisant le Reverse Proxy.

On se rend compte que le troisième type d'accès du portail correspond en fait à un Reverse Proxy (du moins j'ai toujours fait cet amalgame, je ne sais pas si c'est techniquement exact, sans doute un expert pourrait répondre à cette question).

Historiquement, la première solution a été mise en place dans le DSM bien avant le Reverse Proxy. De plus seules les applications standard du NAS (et encore pas toutes) peuvent être gérées dans ce portail.

J'en arrive donc a mes questions :

  1. D'après vous quels sont les avantages/inconvénients d'utiliser le domaine personnalisé plutôt que le Reverse Proxy ?
  2. Est-ce qu'on peut se passer complètement du domaine personnalisé et tout paramétrer via le Reverse Proxy ?
  3. Est-ce qu'avec le DSM 7, toutes les applications du NAS auront bien leur entrée dans le portail ?
  4. Quelles sont vos préconisations : paramétrer les application du NAS dans le portail et les autres dans le Reverse Proxy, ou tout paramétrer dans le Reverse Proxy (pour tout avoir au même endroit) ?

Merci pour vos conseils ...

Lien vers le commentaire
Partager sur d’autres sites

C'est bien plus simple. Le proxy inversé se paramètre dans portail des applications. Ça évite d'ouvrir des ports à l'extérieur, tout peut passer par le port 443 en https. Et un nom de sous domaine est facile à retenir. Un seul certificat LE.

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

@cadkeyJe pense que tu n'as pas compris mes questions. Elles ne portent pas sur le fait d'utiliser un Reverse Proxy, ce sur quoi je suis un adepte depuis de nombreuses années (avant même que l'onglet Reverse Proxy n'existe dans le Portail des Applications !).

Elles portent sur le fait qu'il y a deux manières de paramétrer un Reverse Proxy dans le Portail des Applications : via l'onglet "Applications" pour certaines applications standard du DSM, ou via l'onglet "Reverse Proxy". Et je voulais avoir les avis d'usages d'autres utilisateurs pour connaitre les plus ou les moins de ces méthodes, et savoir s'il y a des avantages ou inconvénients pour chacune de ces deux méthodes ...

Lien vers le commentaire
Partager sur d’autres sites

Je vois au moins 1 différence entre les 2 méthodes : avec le reverse proxy tu peux arriver en HTTPS et continuer en HTTP sur le réseau local alors qu'avec le nom de domaine particulier sur une application tu dois continuer comme tu es entré

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Si le troisième choix "Activer un domaine personnalisé" ce n'est pas un proxy inversé, il faudra m'expliquer ce que c'est (cela fait d'ailleurs partie de mes questions)...

Il y a 19 heures, Kramlech a dit :

On se rend compte que le troisième type d'accès du portail correspond en fait à un Reverse Proxy (du moins j'ai toujours fait cet amalgame, je ne sais pas si c'est techniquement exact, sans doute un expert pourrait répondre à cette question).

@Thierry94Effectivement, c'est sans doute une différence ... Mais comment le démontrer ?

Lien vers le commentaire
Partager sur d’autres sites

Le Portail des applications permet de personnaliser directement le nom de domaine des applications web du NAS qui y sont référencées. Il présente l'intérêt d'éviter le deuxième appel réalisé par le proxy inversé.

Avec proxy inversé https://app.domain.tld > proxy inversé > http://localhost:12345 > Application

Avec le Portail des applicationshttps://app.domain.tld > Application

Même si DSM n'est pas référencé dans le Portail des applications, il reste possible de lui éviter le passage par le proxy inversé en définissant un nom de domaine personnalisé dans Panneau de configuration > Réseau > onglet Paramètres DSM > section Domaine (tout en bas). Cocher la case Activer un domaine personnalisé et renseigner le nom de domaine.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Kramlech a dit :

Si le troisième choix "Activer un domaine personnalisé" ce n'est pas un proxy inversé, il faudra m'expliquer ce que c'est

@Kramlech Non ce n'est pas un proxy inversé.
 @PiwiLAbruti T'a donné la réponse concernant la différence entre un proxy inversé et le portail des applications.
Tu as aussi d'autres éléments de réponse dans l'aide synology qui est très interessante, c'est très bien détaillé pour bien faire la différence avec un proxy inversé https://kb.synology.com/fr-fr/DSM/help/DSM/AdminCenter/application_appportalias?version=6
Un proxy inversé fonctionne ainsi: https://fr.wikipedia.org/wiki/Proxy_inverse#:~:text=Un proxy inverse (reverse proxy,accéder à des serveurs internes.

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

OK, les choses commencent à se préciser ...

Si je synthétise, pour une finalité identique (lier un domaine à une application précise), voici les avantages/inconvénients que je retiens :

  • Portail de applications :
  • Accès direct sans deuxième appel du Reverse Proxy
  • On reste en https
  • Seules certaines (toutes en DSM7 ?) applications sont éligibles
  • Pas de profil de contrôle pour l'accès au DSM
  • Possibilité de personnaliser la page d'accueil de l'application
  • Reverse Proxy
    • Passage par le Reverse Proxy (!),
    • Possibilité de rediriger toutes les applications, DSM ou autre (par exemple docker), voire de rediriger vers d'autres machines (qu'elles soient locales ou pas).
    • Possibilité d'utiliser le profil de contrôle d'accès pour le DSM
    • Centralisation de tous les domaines en un seul endroit.

Bref, je ne suis pas beaucoup plus avancé quant aux choix que je vais faire (basculer toutes mes redirections dans le Reverse Proxy ou garder un mixte entre les deux solutions comme actuellement...)

Lien vers le commentaire
Partager sur d’autres sites

@Kramlech

Bonjour,

il y a 26 minutes, Kramlech a dit :

Bref, je ne suis pas beaucoup plus avancé quant aux choix que je vais faire (basculer toutes mes redirections dans le Reverse Proxy ou garder un mixte entre les deux solutions comme actuellement...)

Personnellement j'utilise les deux et même dans certains cas une certaine redondance : par ex pour FileStation qui est défini à la fois dans le portail d'applications et dans le reverse proxy avec un domaine personnalisé et profil de contrôle d'accès pour compléter la sécurité.

Du coup, dans ce dernier cas, cette redondance peut-elle être préjudiciable quelque part ? ou bien cela ne gêne en rien et on peut laisser comme cela ?

Ton avis STP ?

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Personnellement, le Reverse Proxy est le plus securisé, profil de controle, limitation des ports ouverts, le 443 uniquement, parefeu.
Etre en Http à partir de chez soi derrière son routeur n'est pas un problème, puisque on est en adresse locale. Le routeur et le parefeu ont fait le boulot.
Le https ne sert plus à rien à ce stade au niveau du reseau local.
J'ai tout au travers de mon Reverse Proxy. Et surtout rien via application.

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

Il y a aussi une chose sous-entendue par certains ici mais jamais explicité directement.
Le reverse proxy et les domaines configurés dedans, vont fonctionner pour tout ce qui va arriver dessus, peut importe la provenance : LAN, internet.
Les domaines perso du portail d'applications eux ne vont fonctionner que pour le LAN. Point.

Ce qui est mis dans le portail d'applications permet de ne pas avoir à taper l'IP:port de l'application et d'y accéder avec un raccourcis.

Exemple avec FileStation, port 24242 sur IP 192.168.1.107 en HTTP
On peut définir le domaine personnalise : fichiers, et donc y accéder en tapant : http://fichiers

Autre utilisé si la box n'est pas capable de gérer le loopback sur le nom de domaine.

Bon par contre, c'est limité aux applications DSM et aux paquets... 

Pour ce qui est en docker, c'est mort -> Reverse proxy !

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

il y a 4 minutes, MilesTEG1 a dit :

Le reverse proxy et les domaines configurés dedans, vont fonctionner pour tout ce qui va arriver dessus, peut importe la provenance : LAN, internet.
Les domaines perso du portail d'applications eux ne vont fonctionner que pour le LAN. Point.

C'est bien de préciser cela, on l'oublie trop facilement ! 👏👍

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 ans après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.