Aller au contenu

DNS - Certificat - ports - etc.


Messages recommandés

Bonjour à tous,

J'héberge sur mon DS216J un petit site familial qui fonctionne bien et qu'on peut atteindre depuis l'extérieur. J'ai une ip fixe et j'ai créé sur le serveur DNS de mon syno les entrées qui vont bien. Chez cloudflare j'ai fait pointer le www. vers l'ip fixe du syno et dans webstation créé le virtual host qui pointe vers le répertoire wordpress du site. Ça fonctionne.

Maintenant j'aimerais avoir un certificat pour sécuriser la connexion depuis l'extérieur mais je ne peux pas le faire avec une ip fixe donc il faut que j'associe un domaine à mon syno. Donc j'ai créé chez cloudflare un sous domaine nas.xxx.com, je l'ai fait pointer vers l'ip du syno, créé les entrées dns dans le serveur dns de mon syno. Quand je mets dans le navigateur "nas.xxx.com" j'ai bien "webstation has been enabled..." ce qui veut dire que ça pointe presque au bon endroit mais ça ne va pas plus loin alors que je devrais avoir l'interface de connexion du syno.

Qu'est ce que j'ai oublié???

Merci pour votre aide.

Lien vers le commentaire
Partager sur d’autres sites

Peut être mais ce que je ne comprends pas c'est que mon www.xxx.com fonctionne bien mais si je fais nas.xxx.com ça ne marche pas. Ça devrait vouloir dire que dns est ok (j'avais suivi ce tuto d'ailleurs) mais ça doit bloquer au niveau webstation et ça je ne sais pas comment le paramétrer puisque il n'y a pas de virtual host à créer ou de répertoire source.

Lien vers le commentaire
Partager sur d’autres sites

Tu as fais u

Il y a 1 heure, paddaone a dit :

j'ai fait pointer le www. vers l'ip fixe du syno et dans webstation créé le virtual host qui pointe vers le répertoire wordpress du site

 

Il y a 1 heure, paddaone a dit :

j'ai créé chez cloudflare un sous domaine nas.xxx.com, je l'ai fait pointer vers l'ip du syno, créé les entrées dns dans le serveur dns de mon syno

Il ne manquerait pas virtual host qui ferait pointer nas.xxx.com vers le répertoire wordpress ?

Le message  "webstation has been enabled..." correspond au fichier index.html que tu trouves directement dans le répertoire "web"...

Lien vers le commentaire
Partager sur d’autres sites

Pour faire ça, il faut faire un reverse proxy.

Dans le menu Portail des applications, onglet proxy inversé, il faut créer une entrée :

Source HTTPS, nom : nas.xxx.com, port : 443

Destination HTTP, nom : localhost, port : 5000

Il faut bien entendu dans le routeur que le port 443 soit redirigé vers le nas.

Mais il n'est absolument pas recommandé d'accéder au DSM de l'extérieur de cette manière. Mieux vaut passer par le serveur VPN.

Je vous conseille de regarder ces 2 tutos de Fenrir :

Sécuriser les accès à son nas

Serveur VPN

Lien vers le commentaire
Partager sur d’autres sites

Merci pour cette réponse. L'objectif n'est pas forcement de se connecter avec un joli nom, j'utilise l'adresse ip depuis longtemps mais surtout d'installer un certificat. J'ai essayé le reverse proxy sans succès. Ça m'amène toujours à cette page webstation avec le globe. 

Je comprends que j'ai loupé quelque chose mais je ne sais pas quoi et ça commence à m'énerver sérieusement :-(

Lien vers le commentaire
Partager sur d’autres sites

Je n'utilise pas webstation, aussi je ne sais pas quels sont les impacts sur les accès au NAS. Mais si vous utilisez les ports 5000 et 5001, que ces ports n'ont pas été changés dans DSM, je ne vois pas pourquoi vous tombez sur webstation. Ca n'a aucun sens.

Avez vous vidé le cache de votre navigateur ?

De même, si vous avez créé une règle dans le proxy inversé qui renvoie nas.xxx.com vers localhost:5000, que vous avez transféré dans votre routeur le port 443 vers le 443 du NAS, que votre nom de domaine nas.xxx.com a bien une ressource A ou CNAME enregistrée dans votre domaine xxx.com, je ne vois aucune raison pour laquelle vous tombez sur webstation.

La question que je me pose c'est de savoir si vous avez réellement un nom de domaine enregistré chez un fournisseur ? Si oui, êtes vous sûr de vos enregistrements ?

Pour le certificat, soit vous utilisez les services Synology via Quickconnect, soit, selon la réponse à la question ci-dessus, vous avez déjà ou vous achetez un nom de domaine (moins de 10€/an chez OVH). Vous pouvez créer votre certificat chez Let's Encrypt à partir du NAS.

En allant un peu plus loin dans le tuto de Fenrir sur le serveur DNS, vous y trouverez un tuto additionnel que j'ai fait qui concerne le reverse proxy et la mise en place des certificats.

Pour info, la notion de sous-domaine n'existe pas. ".fr" est un domaine, "toto.fr" est un domaine, "file.toto.fr" est un domaine. Si vous achetez par exemple le nom de domaine "toto.fr", vous pouvez ensuite créer d'autres domaines à partir de "toto.fr" : "xxx.toto.fr", "xxx.yyy.toto.fr" en rajoutant des enregistrements (A ou CNAME) à "toto.fr".

Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, Mic13710 a dit :

Je n'utilise pas webstation, aussi je ne sais pas quels sont les impacts sur les accès au NAS. Mais si vous utilisez les ports 5000 et 5001, que ces ports n'ont pas été changés dans DSM, je ne vois pas pourquoi vous tombez sur webstation. Ca n'a aucun sens.

Si Web Station n'est pas installé, un appel à l'url ou l'ip du NAS (correctement redirigé), sans précision de numéro de port renvoi vers le port 5000 (ou 5001 en https), et donc au DSM.

Si Web Station est installé, un appel à l'url ou l'ip du NAS (correctement redirigé), sans précision de numéro de port renvoi vers le port 80 (ou 443 en https). Dans ce cas, si on n'a pas d'autre précision dans l'URL, et/ou pas de reverse proxy ou de virtual host, le serveur web vas chercher le fichier index.xxx situé dans le répertoire web. Et le message renvoyé provient de ce fichier index.xxx.

Il y a 17 heures, paddaone a dit :

Y pas de wordpress pour nas. nas.xxx.com pointe vers l'ip publique du syno donc au lieu de taper https://mon_ip_publique:5001 je veux mettre https://nas.xxx.com pour arriver à l'interface du syno.

Donc pour faire ça, avec Web Station installé, il te faut un reverse proxy... CQFD

Comme tu arrives bien sur ton serveur Web, c'est que toutes les redirections sont correctes. C'est ton reverse proxy qui doit être mal paramétré...

Modifié par Kramlech
Lien vers le commentaire
Partager sur d’autres sites

Merci je vais regarder ce tuto. Effectivement je perds mon latin sur cette histoire. J'ai un nom de domaine enregistré qui pointe sur mon ip fixe 176.155... derrière laquelle se trouve le syno. le www. est accessible sans problème et pointe sur un site wordpress hébergé sur le syno. Donc on dirait que tout ça fonctionne. J'ai aussi un sous domaine type toto.xxx.com qui pointe sur une autre instance wordpress hébergée sur le syno. Ça fonctionne aussi depuis l'extérieur.

J'ai créé le reverse proxy avec https nas.xx.com 443 (le port est bien ouvert sur le FW du syno) qui pointe vers http localhost 5000 sachant qu'une règle redirige le trafic http vers https. et toujours cette webstation...

 

Lien vers le commentaire
Partager sur d’autres sites

Comme tu es chez cloudflare, le nuage sur la page dns est activé sur ton sous domaine ou pas ? car autrement, ca pourrait être un problème de loopback (vaut mieux l'activé, ça régle le problème de loopback vu que c'est les ip cloudflare affiché et il y a de multiple protections)

à première vue la config de ton reverse proxy semble bonne ... 

Il y a 17 heures, Mic13710 a dit :

Mais il n'est absolument pas recommandé d'accéder au DSM de l'extérieur de cette manière. Mieux vaut passer par le serveur VPN.

Quand un guignol va se retrouver à attaqué le proxy/frontend CloudFlare, même si il tente un ddos ou une autre joyeuseté, ca risque pas grand chose :lol: 

 

Dans le routeur, tu as bien verifie tes regle ? 

Tu test tester en http de manière tenporaire pour voir ?

Lien vers le commentaire
Partager sur d’autres sites

Ah ah!  Petite évolution! 

J'ai essayé en http en modifiant le reverse proxy http nas.xxx.com port 80 -> http localhost -> 5000 et enlevé la redirection trafic de http vers https (5000 vers 5001).

Page blanche avec le favicon DSM sur tous mes navigateurs cache vidé.

Au moins y a des choses qui se passent :-)

Lien vers le commentaire
Partager sur d’autres sites

Attention à la redirection http vers https.

Extrait du tuto de Fenrir sur la sécurisation du NAS :

Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station). Si vous souhaitez profiter de la redirection sans casser le reverse proxy, le plus simple est de créer un petit fichier php à la racine de Webstation (/web/index.php) pour gérer cette redirection :

<?php
$http_host = $_SERVER['HTTP_HOST'];
// 307 Temporary Redirect
header("Location: https://$http_host",TRUE,307);
exit;
?>
Lien vers le commentaire
Partager sur d’autres sites

bon, qd tu aura tout dis ...

le redirection 5000 --> 5001 pose problème avec le reverse proxy si tu lui demande d'accédé au port 5000 CAR :

il accede au port 5000, le dsm revoit le port 5001 et le protocole https et ca tourne dans le vide  --> à desactive, de toute facon, en local, ca change rien et le reverse proxy regle totu

page blanche :, ca semble bien :

dans cloudflare : désactive ou met en manuel le rocket loader dans l'onglet Speed

Et après, tout nous remet le reverse proxy en https, le problème était pas là :biggrin:

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

J'étais effectivement en flexible mais si je remets le proxy en https et cloudflare en full le syno charge très lentement sans l'image de fond pour l'interface de connexion (juste écran blanc avec les cases de connexion) et quand je me connecte il y a juste le fond d'écran sans aucune icône ou éléments de menu.

Lien vers le commentaire
Partager sur d’autres sites

c'est portant la bonne Methode : full ssl dans cloudflare, https dans le reverse proxy qui pointe vers localhost:5000

le flexible ssl n'offre pas l'encryption de bout en bout, ce qui est donc pas très secure, le full et full strict oui https://support.cloudflare.com/hc/en-us/articles/200170416-What-do-the-SSL-options-mean-

Test en mode développement dans cloudflare il est probable qu'il y ait un problème de cache quelque part p-e chez cloudflare

Vérifie dans le navigateur avec les outils de développent ce qui ne se charge pas (lenteur ou pas access du tout) ou fait le direct via gtmetrix ;)

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.