Aller au contenu

accés l'interface synology derriere un reverse proxy (swag)


Messages recommandés

Bonjour a tous,

jusqu’à présent j’accédais a l'interface de mon nas synology et a surveillance station depuis l’extérieur via le reverse proxy docker swag installé sur une autre machine ca marchait pas trop mal.

Depuis quelque temps (je pense depuis la maj de dsm en 7.2) j'ai remarqué que l'appli surveillance station sur mon mobile avait du mal a afficher le flux des cameras (fermeture et réouverture multiple pour que ça marche) .

Hier je me suis aperçu que je ne pouvais plus me connecter au nas si je passe via le proxy. la page s'affiche mais une fois les identifiants saisis ça tourne en rond. pas d'erreur , juste ça tourne dans le vide. (La connexion a surveillance station via l'appli fonctionne toujours elle malgré les problème d’affichage de flux)

voici la conf de reverse proxy

upstream nas {
  server       xxx.xxx.xxx.xxx:5000;
}
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name   nas.example.fr;
    include /config/nginx/ssl.conf;
    client_max_body_size 0;

    if ($lan-ip = yes) { set $geo-whitelist yes; }
    if ($geo-whitelist = no) { return 404; }
    location / {


      include /config/nginx/proxy.conf;
      include /config/nginx/resolver.conf;

      proxy_pass  http://nas;

      proxy_buffering off;
     proxy_set_header X-Forwarded-Port $server_port;
      proxy_cookie_path / "/; HTTPOnly; Secure";
      proxy_set_header Authorization $http_authorization;
      proxy_pass_header Authorization;


      


  }
}

merci d'avance pour votre aide.

cordialement

 

Lien vers le commentaire
Partager sur d’autres sites

Hello,
Moi j'ai ceci : (j'utilise aussi le mod maxmind) 

## Version 2023/02/05
# make sure that your dns has a cname set for <container_name> and that your <container_name> container is not using a base url
# Note for DSM Applications (Package)
# As SWAG is installed in macvlan mode, you have to set the virtual IP for $upstream_app
#       set $upstream_app 192.168.2.230

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name dsm.*;

    include /config/nginx/ssl.conf;

    client_max_body_size 0;

    # enable for ldap auth (requires ldap-location.conf in the location block)
    #include /config/nginx/ldap-server.conf;

    # enable for Authelia (requires authelia-location.conf in the location block)
    #include /config/nginx/authelia-server.conf;

    # enable for Authentik (requires authentik-location.conf in the location block)
    #include /config/nginx/authentik-server.conf;

    # GeoIP Blocking with Maxmind Docker-MOD
    include /config/nginx/maxmind-geoblock_and_LAN.conf;
    
    # Restrict access to some IPs only (LAN & VPNs)
    include /config/nginx/ACL.IP-LAN.conf;

    location / {
        # enable the next two lines for http auth
        #auth_basic "Restricted";
        #auth_basic_user_file /config/nginx/.htpasswd;

        # enable for ldap auth (requires ldap-server.conf in the server block)
        #include /config/nginx/ldap-location.conf;

        # enable for Authelia (requires authelia-server.conf in the server block)
        #include /config/nginx/authelia-location.conf;

        # enable for Authentik (requires authentik-server.conf in the server block)
        #include /config/nginx/authentik-location.conf;

        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;

        set $upstream_app 192.168.2.230;
        set $upstream_port 5412;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;
        
    }
}

Enfin, les deux fichiers includes sont :

  • /config/nginx/maxmind-geoblock_and_LAN.conf;
    # # Version 2022/08/21 - File to be included in all site-confs/*.conf files for SWAG-Nginx
    
    if ($lan-ip = yes) { set $geo-whitelist yes; }
    if ($geo-whitelist = no) { return 404; }
  • /config/nginx/ACL.IP-LAN.conf;
    ## ACL.IP-LAN.conf
    # For my Synology DSM, I created an Access Control Profiles to restrict access only to LAN and VPN IP adresses
    # This Access Control Profile is a file in the /etc/nginx/conf.d folder
    # But for SWAG-Nginx, it must be with another file.
    
    # Allow all from LAN IPs
    allow 192.168.2.0/24;
    
    # Allow all from VPNs IPs
    allow 192.168.10.0/24;
    allow 192.168.11.0/24;
    
    # Deny all
    deny all;

Précision : mon SWAG est en macvlan, j'utilise donc une interface virtuelle (voir un des tuto de @.Shad.à ce sujet) qui est 192.168.2.230. Elle permet au conteneur de communiquer avec le NAS.

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

hello,

C'est une conf fourni par linuxserver.io ou c'est quel que chose que tu as adapté?

j'ai rien vu dans ce qu'ils proposent ou alors ca m'a pas sauté aux yeux.

Citation

Précision : mon SWAG est en macvlan, j'utilise donc une interface virtuelle (voir un des tuto de @.Shad.à ce sujet) qui est 192.168.2.230. Elle permet au conteneur de communiquer avec le NAS.

qu'est ce que tu veux dire ça permet de au conteneur de communiquer avec le nas? ton swag tourne sur ton nas? ou sur un autre serveur?

merci

Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, jericho63 a dit :

C'est une conf fourni par linuxserver.io ou c'est quel que chose que tu as adapté?

Alors c’est adaptée des modèles fournis et ça fonctionne très bien.

il y a 11 minutes, jericho63 a dit :

qu'est ce que tu veux dire ça permet de au conteneur de communiquer avec le nas? ton swag tourne sur ton nas? ou sur un autre serveur?

Mon conteneur swag est installé en macvlan pour bénéficier de sa propre iP et de tous les ports qui vont avec.

et le conteneur en macvlan ne peut plus communiquer avec le nas et inversement.

il faut passer par une iP virtuelle.

 

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1 donc ton conteneur swag tourne sur ton nas? dans mon cas mon swag tourne sur une vm héberger sur un hôte différent.

quel est l'interet de passer par du macvlan?

Sinon j'ai refais mon fichier de config et l'accés refonctionne de nouveau.

par contre toujours des problèmes pour afficher les flux des cameras dans l'appli surveillance station. je comprends pas pourquoi...

Lien vers le commentaire
Partager sur d’autres sites

Salut @jericho63 est-ce que tu as bien les entêtes liés aux websockets dans le fichier proxy.conf ?

Je parle de :

proxy_set_header Connection $connection_upgrade;
proxy_set_header Upgrade $http_upgrade;

Si ton fichier proxy.conf est vieux, ne pas hésiter à le supprimer, SWAG le retéléchargera au redémarrage du conteneur.

D'ailleurs, tu peux vérifier dans les logs au démarrage de SWAG quels sont les fichiers ayant subi des modifications par rapport à la dernière version disponible.

 

Lien vers le commentaire
Partager sur d’autres sites

salut @.Shad. oui c'est bon proxy.conf est bien a jour.

Je sui reparti d'un installation vierge il y a quelque jours, pour être sur que tout soit a jour, sur laquelle j'ai réappliqué toutes les confs.

j'ai remis a jour également les fichiers de confs proxy de chacun de mes services.

Tous refonctionne , même l’accès a l'interface du nas grâce à @MilesTEG1.

La seule chose qui continue a "déconner" c'est le chargement des flux vidéos dans l'appli surveillance station sur smartphone (2 différents)

Lien vers le commentaire
Partager sur d’autres sites

Habituellement le problème dont tu parles est connu pour être lié à l'activation des websockets dans les conf Nginx.

Définis un port personnalisé pour Surveillance Station via le portail des applications dans DSM. Puis crée une entrée de proxy inversé vers Surveillance Station directement (donc tu copies ton fichier conf, juste tu changes le port de DSM par celui de Surveillance Station et tu changes aussi le sous-domaine d'accès évidemment).

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

  • 5 mois après...

Bonsoir,

je rencontre de nouveau des soucis avec l’accès de mon surveillance station via mon reverse proxy swag.

Je n'ai pas fait de modif dans swag et les fichiers de conf sont a jour.

la seule modif est la maj de surveillance station ce weekend.

j'ai remarqué que si je me connecte a surveillance station en direct (via l'ip) sur mon lan, je n'ai pas de soucis mais dés que je passe via le reverse proxy (via un sous domaine dédié)  j'ai un débit haché , ça monte a 2Mbps avant de redescendre a 500Kbps puis 200 puis rien et ça recommence.

mon reverse est sur une vm dédiée, par sur le nas, et je n'avais pas de soucis avant la maj de surveillance station.

une idée?

merci

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.