Aller au contenu

Reverse proxy sans succès / attaque sur le NAS


Messages recommandés

Bonjour à tous,

J'ai pas mal parcouru le forum pour essayer de trouver des réponses au non fonctionnement de mon reverse proxy, mais sans succès, donc je poste en espérant trouver la solution.

J'ai tenté hier de configurer le reverse proxy de mon NAS Syno pour accéder à ma box en remote sans ouvrir l'accès direct à la Livebox4 (oui c'est une daube^^). Pour ça j'ai d'abord généré un certificat Lets Encrypt pour "mondomain.truc.org" (mon dDNS est chez Dynu.com). Visiblement j'avais un problème de port 80 pour la certification, que j'ai résolu semble t-il. Ensuite dans le reverse proxy j'ai indiqué le nom de ma régle (on va dire "box"), puis en source j'ai mis https, port 443, "box.mondomain.truc.org", et en destination j'ai http, port 80, IP de ma box. Les services redémarrent, mais quand je tente d'accéder à ma box depuis un ordi en 4G, j'ai d'une part un problème de certificat qui me dit que le certif pour  "box.mondomain.truc.org" ne correspond pas au domaine déclaré "mondomain.truc.org" (pourtant c'est un sous domaine donc je dois avoir un problème quelque part), donc je fais une exception pour accéder à la page, et d'autre part, quand j'arrive sur la page, ça m'affiche une belle page Synology qui me dit que ma destination n'existe pas !

Qu'est ce qui cloche ?

Petite question de sécurité :

J'accède à DSM en remote par un port personnalisé qui arrive sur le 5001 du NAS, avec la double authentification. Est-ce que c'est suffisamment sécure ou je dois passer au stade supérieur avec le VPN (ce qui m'ennuie niveau vitesse, car déjà pas bien élevée) ?

Je m’aperçois que depuis que j'ai touché au reverse proxy j'ai des attaques venant de Chine. Pourtant j'ai réglé mon firewall en suivant le tuto de Fenhir et en autorisant que les accès venant de Fance... J'ai juste ouvert mon 80 à "all" le temps de la certification Lets Encrypt.

 

Merci pour votre aide

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, Myghalloween a dit :

 "box.mondomain.truc.org" ne correspond pas au domaine déclaré "mondomain.truc.org" (pourtant c'est un sous domaine donc je dois avoir un problème quelque part)

Bonjour, Sous-domaine est un abus de langage...il n'existe que des domaines et il te faut un certificat pour celui-ci (sauf à avoir une wildcard qui te permet d'obtenir un certificat pour *.mondomaine.truc.org   c'est à dire pour tous les domaines de la forme  nimportequoi.mondomaine.truc.org.)

Pour solutionner rapidement ton problème tu fais un certificat avec mondomaine.truc.org et box.mondomaine.truc.org comme autre nom.

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Ok je vais déjà regarder ce point. Dynu propose peut être la wildcard en gratos, je vais regarder.

 

Edit : J'ai bien la wildcard d'activée sur dynu.com. Par contre je ne sais pas si c'est possible de faire un certif Lets Encrypt sur une wildcard ?

Edit 2 : les certif wildcard Lets Encrypt sont possibles uniquement sur les dDNS Syno ^^...

Modifié par Myghalloween
Lien vers le commentaire
Partager sur d’autres sites

Bon déjà je n'ai plus de souci de certificat : je viens de faire un certificat wildcard sur un ddns synology et ça fonctionne sur toutes mes adresses *.mondomaine.synology.me

 

Reste que le reverse proxy vers ma box n'est pas opé, j'ai toujours cette fameuse page Synology qui m'indique que ça n'existe pas ¯\_(ツ)_/¯

Je reçois également toujours des attaques...

Lien vers le commentaire
Partager sur d’autres sites

Pour les attaques rebalaie le tuto suivants:

 

il y a 5 minutes, Myghalloween a dit :

Qu'est ce qui fait qu'on devrait choisir l'un ou l'autre ?

Je ne sais pas te répondre je n'ai pas essayé nginx. Mais le tuto que je t'ai donné est employé par la plupart. 

Lien vers le commentaire
Partager sur d’autres sites

il y a 47 minutes, Myghalloween a dit :

Du coup j'ai aussi vu un tuto de @CoolRaoul sur le reverse proxy sous nginx, moi j'ai fais ça sous celui qui est intégré à DSM (apache ?). Qu'est ce qui fait qu'on devrait choisir l'un ou l'autre ?

Le tuto de Coolraoul dont tu parles date un peu … C’était avant qu’un reverse proxy soit intégré au DSM !

Lien vers le commentaire
Partager sur d’autres sites

Je viens de résoudre mon problème d'attaque (à confirmer). J'ai dû faire une mauvaise manip hier, ou ma livebox a déconné, mais mon port 22 était ouvert en frontal sur le wan (je ne me rappelle pas l'avoir ouvert hier, donc j'imagine que c'est en ajoutant ou supprimant des régles que ma livebox c'est permise de faire n'importe quoi et j'ai pas vérifié).

Normalement je ne devrais plus recevoir d'alerte...

Heureusement que j'ai le firewall du NAS et limité les tentatives de connexions infructueuses...

il y a 2 minutes, PiwiLAbruti a dit :

 

Le reverse proxy ne fonctionne pas sans le paquet DNS Server ?

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Myghalloween a dit :

J'ai dû faire une mauvaise manip hier, ou ma livebox a déconné, mais mon port 22 était ouvert en frontal sur le wan (je ne me rappelle pas l'avoir ouvert hier, donc j'imagine que c'est en ajoutant ou supprimant des régles que ma livebox c'est permise de faire n'importe quoi et j'ai pas vérifié).

Bonjour,

Tu utilises la fonction "configurateur du routeur" sur le NAS?

L'UPNP est activé sur la Livebox? Il vaut mieux le désactiver sinon n'importe quel appareil, application, malware... peuvent ouvrir les ports de la livebox (je crois que ce n'est plus nécessaire pour le décodeur)

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Non je n'utilise pas la fonction "configurateur de routeur", comme le recommande trés bien @Fenrir dans son tuto pour sécuriser le NAS.

Par contre j'ai bien l'UPnP sur la livebox, qui semble toujours nécessaire pour le décodeur, mais comme je n'en ai pas, osef, je décoche ^^

il y a 37 minutes, PiwiLAbruti a dit :

Le post vers lequel pointe le lien que j'ai donné indique comment résoudre le problème de reverse proxy vers la Livebox. Il n'est pas question de DNS Server.

Bien vu @PiwiLAbruti ! C'est ça, désormais ça fonctionne !

Mais comment tu as trouvé un truc pareil ? 

C'est vraiment une daube cette LB4

Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, Myghalloween a dit :

Mais comment tu as trouvé un truc pareil ?

Les outils de développement du navigateur sont d'une précieuse utilité 😇

C'est à modifier uniquement pour la box. Les autres services ne sont pas concernés.

Il en est de même depuis FreeboxOS 4.7.2 (Host: mafreebox.freebox.fr).

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, PiwiLAbruti a dit :

Il en est de même depuis FreeboxOS 4.7.2 (Host: mafreebox.freebox.fr).

Salut,

Chez moi ça n'a pas fonctionné.

A ce propos je cherche une explication/ un tuto sur l'usage de l'entête personnalisé du reverse proxy. Synology semble très discret sur cela. @MilesTEG1 avait posé la question également. A quoi sert l'entête ??

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Jeff777 a dit :

Chez moi ça n'a pas fonctionné.

J'ai été contraint de le faire récemment car sans cet en-tête, le reverse proxy vers la Freebox ne fonctionnait plus. Si ça ne fonctionne pas, il doit y voir un autre problème de configuration.

Il y a 1 heure, Jeff777 a dit :

Synology semble très discret sur cela.

Ça n'a pas de sens, c'est comme dire que Synology serait discret sur un protocole quelconque (DNS, HTTP, SMTP, MAP, ...). Comme ces protocoles, les en-têtes HTTP sont normalisées dans une RFC.

Quelques explications : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, PiwiLAbruti a dit :

Si ça ne fonctionne pas, il doit y voir un autre problème de configuration.

Oui mais comme tu le sais ça a fonctionné simplement avec le  double https (en entrée et en sortie du reverse proxy).

Merci pour le lien sur les en-têtes.

Edit : ça fonctionne également avec le bon paramétrage    https://pop.ndd ==> http://192.168.0.254   et   entête personnalisé : host==> mafreebox.freebox.fr

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.