Aller au contenu

Haproxy Probl

nasmanu

Par nasmanu
dans Paquets par SynoCommunity.com

 Partager

Messages recommandés

nasmanu Newbie

nasmanu

Posté(e)
Posté(e) (modifié)

Bonjour à tous,

J'ai un soucis de configuration avec HAProxy et j'aurais besoin de votre aide :)

Situation :

J'ai mon nom de domaine, on va dire toto.fr

Translation de port ok : 80 => 5080 | 443 => 5443

J'accède au nas via nas.toto.fr => haproxy redirige bien vers la page du dsm

Le nom toto.fr renvois sur le site web par défaut du nas

J'ai activé le portail des application pour toutes les applications (filestation audiostaion, etc). J'y accède par nas.toto.fr/NomApplication

Configuration de HAProxy :

global
	daemon
	maxconn 256
	log localhost user info
	spread-checks 10
	tune.ssl.default-dh-param 2048

defaults
	mode http
	stats enable
	default-server inter 30s fastinter 5s
	log global
	option httplog
	timeout connect 5s
	timeout client 50s
	timeout server 50s
	timeout tunnel 1h

listen stats :8280
	stats uri /
	stats show-legends
	stats refresh 10s
	stats realm Haproxy Statistics
	stats auth login :MDP

frontend http
	bind :5080
	option http-server-close
	option forwardfor
	redirect scheme https

frontend https
	bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3
	option http-server-close
	option forwardfor
	rspirep ^Location: http://(.*)$    Location: https://1
	rspadd Strict-Transport-Security: max-age=31536000; includeSubDomains
	use_backend haproxy if { hdr_beg(Host) -i haproxy. }
	use_backend nas if { hdr_beg(Host) -i nas. }
	use_backend mail if { path_beg /mail }
	use_backend piwik if { path_beg /piwik }
	use_backend plex if { path_beg /manage }

backend haproxy
	server haproxy localhost:8280 check

backend nas
	server nas localhost:8080 check

backend mail
	server mail localhost:8080 check

backend piwik
	server piwik localhost:8080 check

backend plex
	server manage localhost:32400 check

Problèmes :

1. Depuis la mise en place de HAProxy, je ne peux plus accéder à MailStation.

L'adresse nas.toto.fr/mail me renvois sur le fameux message "Désolé, la page que vous recherchez est introuvable".

J'ai essayé plusieurs configuration mais rien y fait, pouvez-vous m'aider ?

2. Je ne peux plus accéder a Plex via l'icone Plex du DSM, cela me renvois vers httpS://MonIP:32400/Manage. Je peux simplement accéder via http://MonIP:32400/Manage.

Faut-il modifier un fichier de conf dans plex ? Et au niveau de HAProxy j'ai un doute sur la configuration adéquate.

3. Idem pour les autres applications, comme piwik, PhpAdmin...

4. Les adresses nas.toto.fr/NomApplication ne fonctionnent pas pour toutes les applications comme filestation, videodstation et notestation mais pour les autres c'est OK...savez-vous pourquoi ?

D'avance merci pour votre aide :)

Modifié par nasmanu
0
Lien vers le commentaire
Partager sur d’autres sites
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e)

problème mail :

ton serveur mail tourne sur le port 80 normalement

ton backend renvoit vers le port 8080, change le en 80 pour voir, ca devrait fonctionner

problème plex : c'est pas haproxy en cause la vu que ca ne passe pas par lui

dans dsm, n'aurait-tu pas activer la redirection https ?

pour tes application, il n'y a aucun backend, donc, si c'est pas sur le chemin par defaut, ca ne fonctionne pas

0
Lien vers le commentaire
Partager sur d’autres sites
nasmanu Newbie

nasmanu

Posté(e)
  • Auteur
Posté(e) (modifié)

merci Gaetan pour ta réponse.

Alors pour le mail même en mettant 80 je retrouve toujours le même message "Désolé, la page que vous recherchez est introuvable".

J'avais mis 8080 puisque c'est le port personnalisé du NAS.

oui j'ai activé la redirection http => https et je l'ai également forcée au niveau de HAProxy sur le frontend via l'option redirect scheme https

ce n'est pas correct de faire ca ?

pour les autres applications je n'ai pas tout recréé lors de mes tests mais il reste piwik avec backend + association mais ce ne fonctionne pa

ah oui si tu parles des applications de base comme videostation, je n'ai normalement pas besoin de backend puisque cela est géré par le raccourci des applis dans "portail des application".

Sans backend j'arrive bien a accéder à nas.toto.fr/surveillance, nas.toto.fr/audio

merci encore

Modifié par nasmanu
0
Lien vers le commentaire
Partager sur d’autres sites
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e)

en fait, graphiquement une connection doit donner ceci :

           https             http
Internet --------- Haproxy ---------- nas

donc, dans le dsm, si tu active le https, tu va redirigé la connection entre haproxy et le service du nas en https, de 1 c'est inutile car c'est en localhost, ca prend des reccource et augmente la latence (https est + lent à la connection).

le mieux, c'est effectivement forcé dans haproxy le https (qui doit etre ta seule porte d'entrée depuis internet) et pour le reste, laissé http

pour le mail, je n'utilise pas le paquet, mais quel est l'url de connection qui fonctionne en locale avec l'ip ? avec çà, je saurai mieux te repondre ;)

0
Lien vers le commentaire
Partager sur d’autres sites
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e) (modifié)

au passage, RC4 est considéré comme non sûr depuis plusieurs mois (https://community.qualys.com/blogs/securitylabs/2013/03/19/rc4-in-tls-is-broken-now-what)

tu devrait changer la ligne :

bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3


par :

bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+3DES+SHA:!RSA+AES:!CAMELLIA:!aECDH:!RC4:!DSS:!PSK:!SRP:!aNULL no-sslv3
Modifié par Gaetan Cambier
0
Lien vers le commentaire
Partager sur d’autres sites
nasmanu Newbie

nasmanu

Posté(e)
  • Auteur
Posté(e) (modifié)

merci de prendre le temps :)

alors par défaut il y a bien le slash de fin quand je clique sur l'icone de mailstation...donc ce ne vient pas de là

par contre j'ai testé autre chose car tu dis que le mailstation doit etre sur le port 80, j'ai donc supprimé le forcage du frontend http => https et la ca fonctionne sur http://nas.toto.fr/mail/

Par contre, en https toujours pareil...j'ai essayé de mettre 443 au lieu de 80 et en laissant le forcage de http=>https mais j'ai toujours le même soucis

Ok merci pour le conseil de sécurité, j'ai changé :)

Modifié par nasmanu
0
Lien vers le commentaire
Partager sur d’autres sites
nasmanu Newbie

nasmanu

Posté(e)
  • Auteur
Posté(e) (modifié)

ok merci bien, j'espère que quelqu'un d'autre passera :)

sinon j'ai refait d'autres tests et en conclusion je ne peux pas accéder en https a mail, piwik et phpMyAdmin et plex

Si je désactive la redirection de HAProxy http=> htpps je n'ai plus aucun soucis mais les connexions ne se font pas de manière sécurisées.

Donc si quelqu'un peut me dire quoi mettre comme config je suis preneur :)

En attendant j'ai trouvé une parade en mettant sur le frontends htpp l'option "redirect scheme https unless { path_beg /mail /phpMyAdmin /piwik }" mais cela ne me convient pas ^^

@Gaetan : par contre pour les applications syno (note, filestation, etc) c'est bien un problème de slash a la fin de l'url...si je l'ajoute cela fonctionne. Sauf videostation mais je crois qu'il ne gère pas le https non ?

Comment je peux faire afin de ne pas l'ajouter systématiquement ?

https://nas.toto.fr/file=> KO

https://nas.toto.fr/file/ => OK

merci

Modifié par nasmanu
0
Lien vers le commentaire
Partager sur d’autres sites
nasmanu Newbie

nasmanu

Posté(e)
  • Auteur
Posté(e) (modifié)

- pour les applications DS ou il manque un slash de fin, j'ai trouvé une piste ici : http://forum.hardware.fr/hfr/reseauxpersosoho/Reseaux/synology-routeur-approche-sujet_5497_688.htm#t741555. Il y a une explication général de haproxy ici qui peut servir: http://forum.hardware.fr/hfr/reseauxpersosoho/Reseaux/synology-routeur-approche-sujet_5497_686.htm#t741030

mais je n'ai pas trouvé la solution précise car je ne sais pas si c'est réalisable avec une expression régulière rassemblant a cela : reqrep ^([^ :]*) /audio/(.*) 1 /2

Quelqu'un comprend cette option, j’avoue que j'ai un peu de mal avec...Merci

- En ce qui concerne les applications mail, piwik, phpMyAdmin rien trouvé de plus pour le moment

- Pour Plex on peut modifier le fichier /volume1/@appstore/Plex Media Server/dsm_config/plex/plex.cgi et écrire en dur le nom de domaine.

Par contre même avec ca je suis bloqué car la connexion veut se faire en httpS et là c'est le même soucis que l'application mail, etc.

Modifié par nasmanu
0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.