[RESOLU] Reverse proxy qui renvoie sur le DSM

[Amsonia]

Bonjour  à tous,

J'utilise un domaine personnalisé (appelons-le domaine.fr) sur mon nas (sous DSM 7) ainsi que le proxy inversé pour gérer différents sous-domaines qui pointent sur différents services, des containers docker en l'occurrence.

Globalement, tout fonctionne bien si ce n'est que je suis parfois renvoyé sur la page de connexion de DSM au lieu d'arriver sur le site demandé.

Plus précisément :
Cas1 : je demande "https://sub1.domaine.fr", ça fonctionne. Le NAS me sert le bon site.

Cas 2 : je demande "http://sub1.domaine.fr", ça renvoie sur la page de connexion de DSM, et l'URL a été changée par "https://sub1.domaine.fr:2222 " où 2222 est mon port personnalisé de connexion DSM en https.
Mon DSM est configuré pour être accédé à la racine du domaine, sans avoir à spécifier de port dans l'URL, soit https://domaine.fr
Les ports 80 ; 443 ; 1111 et 2222 sont redirigés du routeur (freebox) vers le nas, c'est tout.

Cas 3 : je demande "sub1.domaine.fr", le comportement est le même qu'au cas 2.

 

Le comportement souhaité serait que j'arrive sur "https://sub1.domaine.fr" dans les trois cas.

 

Voici des captures de la configuration

 

Modifié le 8 novembre 2021 par Amsonia

[oracle7]

@Amsonia

Bonjour,

Commences par décocher la case "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" et cela devrait tout de suite aller mieux. En effet, si activé, ce paramétrage casse le processus de Reverse Proxy, c'est expliqué dans le TUTO Reverse Proxy.

Attention aussi avec le HSTS, car avec cela tes navigateurs Web, d'une part n'accepteront que des URL en HTTPS et d'autre part ils transformeront automatiquement toute URL avec HTTP en HTTPS.

Cordialement

oracle7😉

 

Modifié le 18 octobre 2021 par oracle7

[Amsonia]

Merci @oracle7 pour ta réponse.

Je suis allé faire un tour sur le tuto dont tu parlais et, effectivement, il me manquait l'étape de redirection par htaccess de http vers https...sauf que ça ne fonctionnait toujours pas.

Réponse complète illustrée mà-bas :

 

[goudurix]

Je viens de faire une mise à jour depuis DSM 6xxx vers la 7.01.

J'ai rigoureusement le même problème. Une connexion sur le port 443 me redirige automatiquement vers le port 5001.

Dans la version 6xxx du DSM ça fonctionnait parfaitement. J'ai fait la mise à jour vers la 7.0.1 et depuis ça ne fonctionne plus. Et je rien changé dans le paramétrage.

 

🤔

[adelac]

@Amsonia et @goudurix,

Chez moi, ça marche très bien avec DSM 7, mais :

1/ dans le reverse proxy, le port source n'est pas 443, mais le port que j'ai choisi pour DSM (2222 dans le cas de @Amsonia) et HSTS est bien activé aussi

2/ pour la destination j'ai HTTPS, l'adresse IP du NAS sur le réseau local qui est fixe et le port que j'ai choisi pour l'appli en question avec HTTPS

3/ pour l'accès à DSM, ça fonctionnait parfaitement avec la case HTTPS cochée (mais je l'ai décochée récemment pour accéder en local au NAS en HTTP sans avoir de message de sécurité dans le navigateur ; ça marche toujours aussi bien)

Le 18/10/2021 à 11:38, oracle7 a dit :

Commences par décocher la case "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" et cela devrait tout de suite aller mieux. En effet, si activé, ce paramétrage casse le processus de Reverse Proxy, c'est expliqué dans le TUTO Reverse Proxy.

Attention aussi avec le HSTS, car avec cela tes navigateurs Web, d'une part n'accepteront que des URL en HTTPS et d'autre part ils transformeront automatiquement toute URL avec HTTP en HTTPS.

@oracle7, es-tu sûr que ce soit toujours vrai en DSM 7 car je n'ai pas ce problème ?

 

PS : si quelqu'un peut m'expliquer à quoi servent les paramètres dans les onglets "En-tête personnalisé" et "Paramètres avancés" sur reverse proxy, je suis preneur.

[oracle7]

@adelac

Bonjour,

Le 07/11/2021 à 15:30, adelac a dit :

es-tu sûr que ce soit toujours vrai en DSM 7 car je n'ai pas ce problème ?

Ce qui est sûr, c'est que c'est vrai avec DSM6. Maintenant, n'étant pas encore passé sous DSM7, je ne m'aventurerai pas plus avant sur ce chemin. Par contre, il semble bien et @Amsonia l'a très bien expliqué que sous DSM7 qu'il faille changer le serveur HTTP par défaut de Nginx à Apache pour lever le problème.

Maintenant que tu rediriges le port dévolu au HTTPS sur autre chose que le port naturel 443 est une chose pour atteindre le NAS et donc DSM mais je ne suis pas sûr que cela en soit une bonne vis à vis du Reverse Proxy qui lui écoute en permanence le trafic sur ce port 443 pour ensuite rediriger le flux selon le domaine présent dans l'URL "entrante". Mais je peux me tromper ...

Le 07/11/2021 à 15:30, adelac a dit :

si quelqu'un peut m'expliquer à quoi servent les paramètres dans les onglets "En-tête personnalisé" et "Paramètres avancés" sur reverse proxy

• "En-tête personnalisé" sauf erreur de ma part, sert à passer des paramètres particuliers au serveur Web, notamment le Websocket pour certains types de communication utilisés par le serveur Web, afin que le Reverse Proxy puisse prendre en charge la fonction/protocole Websocket.

  Citation

  Le protocole WebSocket est un protocole réseau basé sur le protocole TCP. Celui-ci définit la façon dont les données sont échangées entre les réseaux. En raison de sa fiabilité et de son efficacité, il est utilisé par presque tous les clients. TCP établit une connexion entre deux points finaux de communication qu’on appelle des sockets. Ainsi, une communication bidirectionnelle s’établit entre les données.

  Dans le cas d’une connexion bidirectionnelle comme avec le protocole WebSocket (parfois écrit web socket), les données circulent simultanément dans les deux sens. L’avantage : le chargement des données est beaucoup plus rapide.

  C'est du moins ce que j'en ai compris et qu'on me reprenne volontiers si ce n'est pas cela.

• "Paramètres avancés" permet de régler le comportement du Reverse Proxy vis à vis du serveur cible. Il me semble que chaque paramètre est explicite dans l'interface.

Cordialement

oracle7😉

Modifié le 8 novembre 2021 par oracle7

[adelac]

@oracle7, attendons de voir le retour d'expérience de @goudurix et @Amsonia.

[Amsonia]

@adelac tu veux mon retour d'expérience sur quoi en fait ? 🙂

Mon post https://www.nas-forum.com/forum/topic/59108-tuto-reverse-proxy/?do=findComment&comment=1319453680me semblait plutôt clair et complet sur le sujet..

 

[pluton212+]

Le 07/11/2021 à 15:30, adelac a dit :

@Amsonia et @goudurix,

Chez moi, ça marche très bien avec DSM 7, mais :

1/ dans le reverse proxy, le port source n'est pas 443, mais le port que j'ai choisi pour DSM 

Bonjour

pour ma culture personnelle: à quoi sert le R-Proxy dans ce cas car tu dois ouvrir ton port dsm personnalisé dans le routeur ?

Hors il me semble avoir compris que le R-Proxy sert à limiter les ouvertures de ports au port 443.

Peux tu m'expliquer ton astuce ?

Merci 🙂

[MilesTEG1]

il y a 34 minutes, pluton212+ a dit :

Hors il me semble avoir compris que le R-Proxy sert à limiter les ouvertures de ports au port 443.

Le reverse proxy n’est pas limité à la seule ouverture du port 443 , tu peux utiliser le port entrant que tu veux 😊

Utiliser le port 443 reste ce qui se fait de plus pratique car tu n’as pas besoin de le spécifier dans une url en HTTPS car c’est celui là qui est par défaut…

mais par contre cumuler l’ouverture d’un port personnalisé et du 443 est un peu dommage…

 

[goudurix]

 

@pluton212+

Très souvent les ports DSM (5000 et 5001) ne sont pas ouverts en sortie dans les pare-feu, lorsqu'il y en a un.
C'est pour cette raison qu'il est préférable d'utiliser les ports 443 et 80.

Pour conclure, j'ai reconfiguré mon proxy reverse non plus en utilisant srv-xxx.xxxxxxxxx.org mais l'adresse IP de la machine. Et miracle ça a refonctionné.

Oui srv-xxx.xxxxxxxxx.org est correctement créé dans le DNS de mon réseau local.
Oui, le NAS utilise bien le bon serveur DNS et avec une commande nslookup depuis le terminal du NAS renvoie bien srv-xxx.xxxxxxxxx.org vers la bonne IP.

Très étrange ce bug...

[adelac]

Il y a 13 heures, Amsonia a dit :

tu veux mon retour d'expérience sur quoi en fait ?

@Amsonia, désolé, je n'avais pas vu ce post.

PS : je n'ai pas bien compris l'intérêt du htaccess ; pour l'instant je n'accède via des sous domaines que à des appli natives de Synology (Photos, Drive, File Station, MailPlus) et dans ce cas le htaccess est inutile (mais ça fait longtemps que je n'ai pas relu le tuto pour voir dans quels cas il est nécessaire).

[oracle7]

@goudurix

Bonjour,

Il y a 2 heures, goudurix a dit :

C'est pour cette raison qu'il est préférable d'utiliser les ports 443 et 80.

Pas tout à fait car dans DSM il y a un mécanisme automatique qui fait que si on appelle le NAS (par son @IP ou par un nom de domaine) sans préciser le port (80 si HTTP et 443 si HTTPS) ET que l’on n’a pas installé le package Web Station, alors on est automatiquement redirigé vers l'interface DSM du NAS (donc vers le port 5000 ou 5001).

@adelac

Il y a 2 heures, adelac a dit :

je n'ai pas bien compris l'intérêt du htaccess

Son intérêt est de convertir toute URL saisie en xxxxx.ndd.fr dans le navigateur Web, en https://xxxxx.ndd.fr ainsi la redirection vers le Reverse Proxy est pleinement efficiente.

Ensuite on dans Réseau/Paramètres de DSM : on décoche "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" afin d'éviter que l'on soit redirigé vers l'interface DSM lorsque l'on tape directement "ndd.fr".

Si l'on veux quand même atteindre l'interface DSM du NAS via le Reverse Proxy, alors il faut faire une redirection du style "monnas.ndd.fr" avec "monnas" dans tous les cas différent du nom effectif donné au NAS. Si "=" alors cela ne marche pas.

Cordialement

oracle7😉

[adelac]

@oracle7,

Il y a 5 heures, oracle7 a dit :

Son intérêt est de convertir toute URL saisie en xxxxx.ndd.fr dans le navigateur Web, en https://xxxxx.ndd.fr ainsi la redirection vers le Reverse Proxy est pleinement efficiente.

Sauf que en DSM 7 ça a l'air inutile puisque je ne l'ai pas fait et que mes redirections fonctionnent bien.

[oracle7]

@adelac

Bonjour,

il y a 45 minutes, adelac a dit :

Sauf que en DSM 7 ça a l'air inutile puisque je ne l'ai pas fait et que mes redirections fonctionnent bien.

OK j'en prend bonne note même si cela m'étonne mais pourquoi pas...🧐 On verra à l'usage si d'autres membres confirment, ce qui serait une belle simplification en soit.

Cordialement

oracle7😉

[goudurix]

J'ai réglé le problème en corrigeant une donnée dans le proxy inversé.

En effet, j'ai remplacé le nom du serveur sur le réseau par son adresse IP. Et ça refonctionne.

@oracle7
Je rappelle qu'avec le DSM 6.xxx ca fonctionnait parfaitement. C'est après la mise à jour que ça n'a plus fonctionné.