Reverse proxy sans succès / attaque sur le NAS

[Myghalloween]

Bonjour à tous,

J'ai pas mal parcouru le forum pour essayer de trouver des réponses au non fonctionnement de mon reverse proxy, mais sans succès, donc je poste en espérant trouver la solution.

J'ai tenté hier de configurer le reverse proxy de mon NAS Syno pour accéder à ma box en remote sans ouvrir l'accès direct à la Livebox4 (oui c'est une daube^^). Pour ça j'ai d'abord généré un certificat Lets Encrypt pour "mondomain.truc.org" (mon dDNS est chez Dynu.com). Visiblement j'avais un problème de port 80 pour la certification, que j'ai résolu semble t-il. Ensuite dans le reverse proxy j'ai indiqué le nom de ma régle (on va dire "box"), puis en source j'ai mis https, port 443, "box.mondomain.truc.org", et en destination j'ai http, port 80, IP de ma box. Les services redémarrent, mais quand je tente d'accéder à ma box depuis un ordi en 4G, j'ai d'une part un problème de certificat qui me dit que le certif pour  "box.mondomain.truc.org" ne correspond pas au domaine déclaré "mondomain.truc.org" (pourtant c'est un sous domaine donc je dois avoir un problème quelque part), donc je fais une exception pour accéder à la page, et d'autre part, quand j'arrive sur la page, ça m'affiche une belle page Synology qui me dit que ma destination n'existe pas !

Qu'est ce qui cloche ?

Petite question de sécurité :

J'accède à DSM en remote par un port personnalisé qui arrive sur le 5001 du NAS, avec la double authentification. Est-ce que c'est suffisamment sécure ou je dois passer au stade supérieur avec le VPN (ce qui m'ennuie niveau vitesse, car déjà pas bien élevée) ?

Je m’aperçois que depuis que j'ai touché au reverse proxy j'ai des attaques venant de Chine. Pourtant j'ai réglé mon firewall en suivant le tuto de Fenhir et en autorisant que les accès venant de Fance... J'ai juste ouvert mon 80 à "all" le temps de la certification Lets Encrypt.

 

Merci pour votre aide

[Jeff777]

il y a 15 minutes, Myghalloween a dit :

 "box.mondomain.truc.org" ne correspond pas au domaine déclaré "mondomain.truc.org" (pourtant c'est un sous domaine donc je dois avoir un problème quelque part)

Bonjour, Sous-domaine est un abus de langage...il n'existe que des domaines et il te faut un certificat pour celui-ci (sauf à avoir une wildcard qui te permet d'obtenir un certificat pour *.mondomaine.truc.org   c'est à dire pour tous les domaines de la forme  nimportequoi.mondomaine.truc.org.)

Pour solutionner rapidement ton problème tu fais un certificat avec mondomaine.truc.org et box.mondomaine.truc.org comme autre nom.

 

Modifié le 10 décembre 2022 par Jeff777

[Myghalloween]

Ok je vais déjà regarder ce point. Dynu propose peut être la wildcard en gratos, je vais regarder.

 

Edit : J'ai bien la wildcard d'activée sur dynu.com. Par contre je ne sais pas si c'est possible de faire un certif Lets Encrypt sur une wildcard ?

Edit 2 : les certif wildcard Lets Encrypt sont possibles uniquement sur les dDNS Syno ^^...

Modifié le 10 décembre 2022 par Myghalloween

[Myghalloween]

Bon déjà je n'ai plus de souci de certificat : je viens de faire un certificat wildcard sur un ddns synology et ça fonctionne sur toutes mes adresses *.mondomaine.synology.me

 

Reste que le reverse proxy vers ma box n'est pas opé, j'ai toujours cette fameuse page Synology qui m'indique que ça n'existe pas ¯\_(ツ)_/¯

Je reçois également toujours des attaques...

[Jeff777]

Regarde ce tuto pour vérifier que tu n'as rien oublié.

 

[Myghalloween]

Ok je lis ça tranquillement !

Du coup j'ai aussi vu un tuto de @CoolRaoul sur le reverse proxy sous nginx, moi j'ai fais ça sous celui qui est intégré à DSM (apache ?). Qu'est ce qui fait qu'on devrait choisir l'un ou l'autre ?

[Jeff777]

Pour les attaques rebalaie le tuto suivants:

 

il y a 5 minutes, Myghalloween a dit :

Qu'est ce qui fait qu'on devrait choisir l'un ou l'autre ?

Je ne sais pas te répondre je n'ai pas essayé nginx. Mais le tuto que je t'ai donné est employé par la plupart. 

[Kramlech]

il y a 47 minutes, Myghalloween a dit :

Du coup j'ai aussi vu un tuto de @CoolRaoul sur le reverse proxy sous nginx, moi j'ai fais ça sous celui qui est intégré à DSM (apache ?). Qu'est ce qui fait qu'on devrait choisir l'un ou l'autre ?

Le tuto de Coolraoul dont tu parles date un peu … C’était avant qu’un reverse proxy soit intégré au DSM !

[Myghalloween]

Ok, donc autant utiliser celui qui est intégré à DSM. Merci pour cette précision. Je continue mes lectures, je reviens vous donner les résultats 😎

[PiwiLAbruti]

Il y a 2 heures, Myghalloween a dit :

Reste que le reverse proxy vers ma box n'est pas opé, j'ai toujours cette fameuse page Synology qui m'indique que ça n'existe pas ¯\_(ツ)_/¯

 

[Myghalloween]

Je viens de résoudre mon problème d'attaque (à confirmer). J'ai dû faire une mauvaise manip hier, ou ma livebox a déconné, mais mon port 22 était ouvert en frontal sur le wan (je ne me rappelle pas l'avoir ouvert hier, donc j'imagine que c'est en ajoutant ou supprimant des régles que ma livebox c'est permise de faire n'importe quoi et j'ai pas vérifié).

Normalement je ne devrais plus recevoir d'alerte...

Heureusement que j'ai le firewall du NAS et limité les tentatives de connexions infructueuses...

il y a 2 minutes, PiwiLAbruti a dit :

 

Le reverse proxy ne fonctionne pas sans le paquet DNS Server ?

[PiwiLAbruti]

Le post vers lequel pointe le lien que j'ai donné indique comment résoudre le problème de reverse proxy vers la Livebox. Il n'est pas question de DNS Server.

[maxou56]

il y a une heure, Myghalloween a dit :

J'ai dû faire une mauvaise manip hier, ou ma livebox a déconné, mais mon port 22 était ouvert en frontal sur le wan (je ne me rappelle pas l'avoir ouvert hier, donc j'imagine que c'est en ajoutant ou supprimant des régles que ma livebox c'est permise de faire n'importe quoi et j'ai pas vérifié).

Bonjour,

Tu utilises la fonction "configurateur du routeur" sur le NAS?

L'UPNP est activé sur la Livebox? Il vaut mieux le désactiver sinon n'importe quel appareil, application, malware... peuvent ouvrir les ports de la livebox (je crois que ce n'est plus nécessaire pour le décodeur)

Modifié le 10 décembre 2022 par maxou56

[Myghalloween]

Non je n'utilise pas la fonction "configurateur de routeur", comme le recommande trés bien @Fenrir dans son tuto pour sécuriser le NAS.

Par contre j'ai bien l'UPnP sur la livebox, qui semble toujours nécessaire pour le décodeur, mais comme je n'en ai pas, osef, je décoche ^^

il y a 37 minutes, PiwiLAbruti a dit :

Le post vers lequel pointe le lien que j'ai donné indique comment résoudre le problème de reverse proxy vers la Livebox. Il n'est pas question de DNS Server.

Bien vu @PiwiLAbruti ! C'est ça, désormais ça fonctionne !

Mais comment tu as trouvé un truc pareil ? 

C'est vraiment une daube cette LB4

[Myghalloween]

Est-ce que ça veut dire que je vais devoir modifier l'entête de chaque régle de reverse proxy ou uniquement celle vers la box ?

[PiwiLAbruti]

Il y a 18 heures, Myghalloween a dit :

Mais comment tu as trouvé un truc pareil ?

Les outils de développement du navigateur sont d'une précieuse utilité 😇

C'est à modifier uniquement pour la box. Les autres services ne sont pas concernés.

Il en est de même depuis FreeboxOS 4.7.2 (Host: mafreebox.freebox.fr).

[Jeff777]

il y a 8 minutes, PiwiLAbruti a dit :

Il en est de même depuis FreeboxOS 4.7.2 (Host: mafreebox.freebox.fr).

Salut,

Chez moi ça n'a pas fonctionné.

A ce propos je cherche une explication/ un tuto sur l'usage de l'entête personnalisé du reverse proxy. Synology semble très discret sur cela. @MilesTEG1 avait posé la question également. A quoi sert l'entête ??

[Myghalloween]

il me semble que l’entête fait parti des "tags" que reçoit un paquet avant de partir sur le réseau. Elle sert à certains applicatifs, comme les box visiblement, et surtout les navigateurs quand ils réceptionnent le paquet. Je ne peux pas vraiment en dire plus car je ne connais pas assez

[PiwiLAbruti]

Il y a 1 heure, Jeff777 a dit :

Chez moi ça n'a pas fonctionné.

J'ai été contraint de le faire récemment car sans cet en-tête, le reverse proxy vers la Freebox ne fonctionnait plus. Si ça ne fonctionne pas, il doit y voir un autre problème de configuration.

Il y a 1 heure, Jeff777 a dit :

Synology semble très discret sur cela.

Ça n'a pas de sens, c'est comme dire que Synology serait discret sur un protocole quelconque (DNS, HTTP, SMTP, MAP, ...). Comme ces protocoles, les en-têtes HTTP sont normalisées dans une RFC.

Quelques explications : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers

[Myghalloween]

ok merci pour les précisions. J'étais à coté en pensant que c'était un tag de paquet.

[Jeff777]

Il y a 5 heures, PiwiLAbruti a dit :

Si ça ne fonctionne pas, il doit y voir un autre problème de configuration.

Oui mais comme tu le sais ça a fonctionné simplement avec le  double https (en entrée et en sortie du reverse proxy).

Merci pour le lien sur les en-têtes.

Edit : ça fonctionne également avec le bon paramétrage    https://pop.ndd ==> http://192.168.0.254   et   entête personnalisé : host==> mafreebox.freebox.fr

Modifié le 11 décembre 2022 par Jeff777