chr!x
-
Compteur de contenus
148 -
Inscription
-
Dernière visite
Messages posté(e)s par chr!x
-
-
J'ai honte...
DSM / Panneau de configuration / VPN / Avancé / Reconnecter quand la connexion VPN est perdue.
J'ai honte...
Par contre, rien trouvé concernant la réservation d'une IP au sein d'un VPN, en tout cas dans le DSM en natif sur le Syno.
0 -
Salut,
Avec mon pseudo tout biscornu et son ! , je n'arrive pas a me logguer sur le forum depuis l'appli iPhone Tapatalk. L'admin devrait savoir de quoi je parle...
Possible de remonter l'info aux d
0 -
Il y a des certificats SSL dits "wildcard" qui sont valables pour *.tondomain.tld
* Perplexe.
Tu veux dire que la structure mise en place avec HAProxy m'obligerait à m'orienter vers ce type de solution "wildcard" ?
Pour ce qui est de webdav et caldav, comme ceux sont des extensions du HTTP, il est possible de les gérer via HAProxy. Le cas échéant, tu peux toujours activer le SSL sur chacun de ces deux services.
Activer le SSL sans certificat sur webdav / caldav / carddav, c'est possible ? Faudrait pas quand même passer par un certificat maison, genre ?
0 -
Microdons = bonne idée, pour peu qu'on puisse réellement suivre l'état des dons en live, l'atteinte du plafond, etc.
D'autre part, je serai également prêt à payer, parce que tout travail mérite salaire. Et de 10 à 30 Euros en fonction de la charge de travail, ca me parrait équitable. En revanche, je plussoie les histoires de gratuite du source, de faire payer pour de la cross-compil, j'imagine à peine ce que penserai le développeur d'un paquet s'il savait ça...
0 -
J'en reviens à mes moutons.
Admettons que grace à HAProxy, tous les services web passent désormais par un seul port, il n'en reste pas moins que la question de SSL se pose, déjà pour sécuriser les comms de HAProxy, mais surtout pour le reste de mes services, notamment le webdav, le CalDav et le CardDav.
Quid ?
Et d'autre part, les certificats SSL sont attachés à un seul domaine (si je dis pas de bêtise). Comment le Syno peut-il gérer plusieurs domaines en SSL, chacun avec son propre certificat ?
0 -
Salut !
Le serveur VPN est sur un DS1511+ derrière une Freebox. Il est également client de ce VPN et prend l'IP 10.0.0.1. Un client (sur mon lieu de travail) se connecte à ce VPN, et prend l'IP 10.0.0.2.
Mes 2 NAS sont en DSM 4.1 dernière build, non modés avec des IPKG...
Je me sers de ce VPN pour que le Syno du boulot se backup sur celui de la maison, la nuit. Malheureusement, le matin, quand je regarde le résultat, et bien la sauvegarde n'a pas pu se faire car la connexion a coupé avant que le schedule du backup ne se soit lancé. La raison ? Je l'ignore... Inactivité ?
Donc mes questions :
* Ya un moyen quelconque d'automatiser la relance d'une connexion VPN qui serait tombée ?
* Existe t'il une sorte de réservation de bail d'IP (comme sur un serveur DHCP) pour un VPN ?
0 -
Premiers retours de mes expérimentations, des fois que cela puisse servir à faire évoluer la bêta.
Après avoir créé les associations adhoc:
* http://dsm.mondomain.tld = OK
* http://sab.mondomain.tld = OK (sadnzbd / port 9050 chez moi / parfait)
* http://plex.mondomain.tld = OK (plex / port 32400 / par contre faut rajouter /manage pour que ca marche)
* http://sick.mondomain.tld = OK (sickbeard / port 8081 / parfait)
* http://fbx.mondomain.tld = OK (freebox serveur / 192.168.1.x:
/ parfait)Je dois mener encore d'autres essais, mais c'est concluant pour le moment.
Questions :
* HAProxy sait-il faire une relation du type xxx.mondomain.tld => localhost:port/rep ?
* Si on est en multi-domaines, HAProxy sait-il faire le tri ou les redirections sont-elles valable pour les 2 domaines ?
* Les premiers temps de chargement sur les asso ci-dessus sont véritablement très long (de l'ordre de 10 à 30 secondes. Après, mieux. Normal ?
Curiosité: depuis ce matin, lorsque j'enregistre la config suite à l'ajout de backend et/ou association, je n'ai plus la fenêtre de confirmation qui apparait dans le DSM.
Edit: l'appli iPhone SABMobile et le plugin Chrome SABconnect++ fonctionnent parfaitement avec sab.mondonain.tld via le port
0 -
Là ça commence à marcher
Il faut refaire toutes les associations avec http ?
Edit : Pour SABnzbd, je tape le login/pwd, le title de la page s'affiche, mais ca tourne en permanence sans rien afficher. En revanche, la page d'HAProxy (après login/pwd) s'affiche sans encombre).
Quand au DSM, ca redirige vers http://dsm.mondomain...ebman/index.cgi et j'ai un 404 made in Synology :
Désolé, la page que vous recherchez est introuvable.
0 -
C'est le cas. Je suis derrière une Freebox v6, j'ai forwardé son
vers le 5080 du Syno.
Edit:
Certainement rien à voir... Je m'aperçois à l'instant que dans le gestionnaire de paquets, si je fais "Plus" sur certains (ex : phpMyAdmin), l'URL qui m'est donnée est préfixée avec sickbeard... Pourquoi sickbeard et pas un autre ? Et pourquoi sur ce domaine plutôt qu'un autre ?
Edit 2 (et puis dodo) : J'ai tenté un reboot complet du Syno, aukazou, ça n'a rien changé.
0 -
Parfait. Merci d'avoir levé cette ambiguité.
J'ai donc transféré mon NDD vers mon Syno (c'est en cours de rafraichissement vu les temps de propagation), et j'ai déjà pu mener quelques tests. En effet, tous les "nattages" qui fonctionnaient avec mon xxx.hd.free.fr marchent aussi avec mondomain.tld, j'arrive bien sur le Syno (SABnzbd / DSM / etc...)
Ensuite, voici ma conf actuelle en 2 screenshots :
J'ai uniquement édité le backend de SABNZBD pour qu'il bascule sur le bon port (9050 chez moi au lien de 8080).
Malheureusement, quelques soient mes URL, ca tape toujours sur le DSM :
* sabnzbd.mondomain.tld => sabnzbd.modomain.tld:5000/webman/index.cgi
* haproxy.mondomain.tld => haproxy.modomain.tld:5000/webman/index.cgi
Même ceux qui ne sont pas définis dans le backend redirigent vers le DSM sur le même modèle :
* toto.mondomain.tld => toto.modomain.tld:5000/webman/index.cgi
* pokemon.mondomain.tld => pokemon.modomain.tld:5000/webman/index.cgi
Il y a malgré tout un truc qui me chagrine, c'est cette histoire d'écoute sur le 5080 par HAProxy. Faut-il reformuler les URL avec :5080 à la fin ? Genre :
* haproxy.mondomain.tld:5080
* sabnzbd.mondomain.tld:5080
Car si c'est le cas, même combat, je déboule toujours sur le DSM...
0 -
Je vais récupérer mon ndd perso (aujourd'hui pointant ailleurs), rapatrier sur le Syno le petit joomla qui y tourne, et je reviens à l'assaut dès que c'est en place.
En attendant, je te relance sur mes précédentes questions restées en suspend :
Oui tu as bien compris, en fait, tu peux faire toute sorte de règle pour rediriger un frontend (écoute le HTTP sur le port 5080) vers un backend (service web tournant sur le syno, ou ailleurs sur ton réseau comme SABnzbd, SickBeard, WebDAV, AudioStation, etc.)
Par exemple:
* box.mondomain.tld => 192.168.1.254:
Vu que l'écoute est faite sur le port 5080, ton exemple ne devrait-il pas plutôt être ? :
* box.mondomain.tld:5080 => 192.168.1.254:
Est-ce que par la suite on peut imaginer :
* smtp.mondomain.tld => 192.168.1.254:25
* ssh.mondomain.tld => 192.168.1.254:22
etc... ?
0 -
Avant hier, j'ai installé des packages de SynoCommunity (SABnzbd & Python), j'ai du cliquer à deux fois sur "installer". Je suis en DSM 4.1 build 2647 sur un DS1511+
Pas d'avancée sur le devenir du package Python ?
0 -
Salut,
Dans le prolongement de j'ai ouvert ce sujet pour répondre aux questions qui m'assaillent quant à la mise en oeuvre de HAProxy.
Oui tu as bien compris, en fait, tu peux faire toute sorte de règle pour rediriger un frontend (écoute le HTTP sur le port 5080) vers un backend (service web tournant sur le syno, ou ailleurs sur ton réseau comme SABnzbd, SickBeard, WebDAV, AudioStation, etc.)
Par exemple:
* box.mondomain.tld => 192.168.1.254:
Vu que l'écoute est faite sur le port 5080, ton exemple ne devrait-il pas plutôt être ? :
* box.mondomain.tld:5080 => 192.168.1.254:
Est-ce que par la suite on peut imaginer :
* smtp.mondomain.tld => 192.168.1.254:25
* ssh.mondomain.tld => 192.168.1.254:22
etc... ?
Ca marche avec les NDD xxx.hd.freebox.fr si et seulement si les sous domaines sont possibles. Par exemple il faut que sickbeard.xxx.hd.freebox.fr pointe bien vers chez toi.
Si j'en juge par mes premiers tests, la réponse serait non... Ca n'est pas ton avis ?
Mac-mini-de-Chrix:~ chrix$ traceroute xxx.hd.free.frtraceroute to xxx.hd.free.fr (88.165.136.37), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 0.983 ms 0.599 ms 0.631 ms
2 1.107.94.
.static.monaco.mc (.94.107.1) 36.957 ms 36.965 ms 36.680 ms3 192.168.18.229 (192.168.18.229) 37.396 ms 37.809 ms 37.635 ms
4 172.26.1.133 (172.26.1.133) 37.057 ms 37.619 ms 37.744 ms
5 172.26.1.78 (172.26.1.78) 43.485 ms 42.671 ms 42.981 ms
6 vlan530.icore1.wi3-milan.as6453.net (195.219.166.1) 43.567 ms 52.677 ms 53.607 ms
7 if-1-0-0-96.core3.mlt-milan.as6453.net (195.219.158.29) 42.275 ms 42.365 ms 41.899 ms
8 if-10-1403.tcore1.pvu-paris.as6453.net (
.231.153.45) 60.754 ms 63.349 ms 59.939 ms9 195.219.241.174 (195.219.241.174) 59.219 ms 58.995 ms 58.333 ms
10 lyon-crs16-1-be2000.intf.routers.proxad.net (212.27.59.30) 66.289 ms 67.130 ms 66.625 ms
11 lyon-crs8-2-be1000.routers.proxad.net (212.27.56.158) 67.779 ms 66.671 ms 71.854 ms
12 nice-6k-1-po5.intf.routers.proxad.net (212.27.59.154) 72.352 ms 72.164 ms 71.973 ms
13 bso06-2.dslg.proxad.net (213.228.12.195) 73.169 ms 72.631 ms 72.917 ms
14 *^C
Mac-mini-de-Chrix:~ chrix$ traceroute sabnzbd.xxx.hd.free.fr
traceroute to sabnzbd.xxx.hd.free.fr (67.215.66.132), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 0.933 ms 0.613 ms 0.531 ms
2 1.107.94.
.static.monaco.mc (.94.107.1) 36.673 ms 36.788 ms 36.658 ms3 192.168.18.229 (192.168.18.229) 36.931 ms 37.377 ms 37.953 ms
4 172.26.1.66 (172.26.1.66) 45.666 ms 37.607 ms 37.983 ms
5 172.26.1.70 (172.26.1.70) 55.754 ms 56.333 ms 77.596 ms
6 ae0-1321-xcr1.par.cw.net (208.175.146.109) 56.412 ms 55.447 ms 55.474 ms
7 xe-11-2-0-xcr1.prp.cw.net (195.2.9.57) 65.495 ms 65.414 ms 65.673 ms
8 xe-9-2-0-xcr1.fra.cw.net (195.2.9.46) 64.789 ms 65.385 ms
xe-1-0-0-xcr1.fra.cw.net (195.2.9.54) 65.043 ms
9 xe-0-0-1-xcr1.fix.cw.net (195.2.28.202) 65.306 ms
xe-11-2-0-xcr1.fix.cw.net (195.2.28.222) 65.007 ms 101.224 ms
10 xe-0.de-cix.frnkge03.de.bb.gin.ntt.net (
.81.192.46) 65.688 ms 67.837 ms 66.613 ms11 ae-1.r02.frnkge03.de.bb.gin.ntt.net (129.250.4.163) 67.500 ms 67.862 ms 67.528 ms
^C
Le 1er traceroute va bien vers l'IP de chez moi, le second pointe vers une IP chez OpenDNS...
0 -
Oui tu as bien compris, en fait, tu peux faire toute sorte de règle pour rediriger un frontend (écoute le HTTP sur le port 5080) vers un backend (service web tournant sur le syno, ou ailleurs sur ton réseau comme SABnzbd, SickBeard, WebDAV, AudioStation, etc.)
Par exemple:
* box.mondomain.tld => 192.168.1.254:
La condition que l'on met c'est sur la structure de la requête reçue par HAProxy. Voir ici pour un peu de détail sur la structure d'une requête HTTP.
La condition est : si le header Host commence par "box." alors faire le proxy vers 192.168.1.254:
Dans la configuration ça se traduit par cette condition.
Je vais de ce pas ouvrir vu que ça n'a plus grand chose à voir avec le sujet d'origine.
0 -
Si je comprends bien << l'esprit >> de la chose, HAProxy permettrait de faire passer tout par le
, et de filtrer en fonction de ce qui est devant le NDD ?Genre :
* sabnzbd.mondomaine.fr => localhost:8080
* sickbeard.mondomaine.fr => localhost:8081
C'est bien ça ? Si oui, j'y vois en effet un gain de souplesse en gestion, ne serait-ce que pour ce qui concerne le nattage des ports...
Ca marcherait avec des NDD xxx.hd.freebox.fr ?
0 -
Je serai intéressé pour le tester. Mais il semble qu'il soit en beta fermée pour l'instant. Comment dois-je faire ?
0 -
Je ne connaissais pas. En me documentant rapidement, voici ce que je trouve :
HAProxy est un relais TCP/HTTP offrant des facilités d'intégration enenvironnement hautement disponible. En effet, il est capable de :
- effectuer un aiguillage statique défini par des cookies ;
- effectuer une répartition de charge avec création de cookies pour assurer
la persistence de session ;
- fournir une visibilité externe de son état de santé ;
- s'arrêter en douceur sans perte brutale de service ;
- modifier/ajouter/supprimer des en-têtes dans la requête et la réponse ;
- interdire des requêtes qui vérifient certaines conditions ;
- utiliser des serveurs de secours lorsque les serveurs principaux sont hors
d'usage.
- maintenir des clients sur le bon serveur serveur d'application en fonction
de cookies applicatifs.
- fournir des rapports d'état en HTML à des utilisateurs authentifiés, à
travers des URI de l'application interceptées.
Il requiert peu de ressources, et son architecture événementielle mono-
processus lui permet facilement de gérer plusieurs milliers de connexions
simultanées sur plusieurs relais sans effondrer le système.
Je ne comprends pas en quoi ça peut m'être utile pour sécuriser mon Syno.
PS : Diaoul, prosternations éternelles pour ton travail sur SynoCommunity
0 -
Salut,
ton expérimentation sur le SSL est-elle alléé au delà du web et SABnzbd ?
0 -
@oustiti123 :
ton affaire m'intéresse. Je me pose pas mal de questions sur le SSL et suis dans le même cas que toi, avec (notamment) un NDD en xxx.hd.free.fr.
T'as réussi à passer outre ton absence de certificat pour le web ? T'aurai pas aussi testé pour le WebDav ?
0 -
Salut,
Si vous ne voulez pas perdre trop de temps, la question est dans le titre. Sinon, je détaille un peu ma situation.
J'ai un 1511+ à la maison derrière une Freebox. Il fait tourner :
* sites web en multi-domaines (Joomla & WordPress)
* FTP
* SSH
* WebDav pour ownCloud (CardDav & CalDav)
* CloudStation (juste pour la synchro façon DropBox)
* SABnzbd
* PhpMyAdmin
* Plex
* Backups croisés avec le Syno DS212+ du boulot.
Depuis que je me suis mis sur Twitter et que j'ai fais quelques liens vers mon blog WP, j'ai constaté une prolifération de tentatives de connexions depuis la Chine majoritairement. Je tourne en moyenne à 5 IP bloquées par jour grâce au bloquage IP du Syno (70 tentatives en 21 jours).
Pour y remédier, j'ai (à l'instant) natté des ports externes différents de ma Freebox pour que le FTP (21) et le SSH (22) ne soient plus directement sollicités. J'espère mesurer rapidement une nette amélioration avec ces premières mesures.
Si mes quelques users ont des mots de passe bien fumant avec chiffres / lettres / ponctuation sur une quinzaine de caractères, je me demande malgré tout là où il faut que je prenne les devants pour anticiper toute mauvaise surprise. Que faut-il que je sécurise ?
D'autre part, si j'estime qu'il y a une fonctionnalité sur laquelle je compte plus que tout, c'est le CalDav & CardDav que m'offre ownCloud. Et là, je suis un peu "à poil" puisque j'ai pas de certificat SSL.
Je me demande donc si là aussi, pour sécuriser mon bouzin, il faudrait que je m'inquiète d'en prendre un... Si oui, faut-il que je me tourne vers une solution :
* gratuite type StartSSL (à renouveler tous les ans ? Chiant ?)
* "fait maison" type solution de l'
* payante (je suis pas contre payer quelques dizaines d'€ par an si c'est réellement efficace).
D'ailleurs, que faut-il réellement attendre du passage au SSL ? Faut-il y passer ? (et hop, j'ai bouclé sur le titre de mon message... :-D )
A vous relire,
Chr!x.
0 -
Apperemment, rien sur le CardDAV. Vivement jeudi !
0 -
Et la prise en charge native de webcam serait aussi bien venue. Bon, vu la pléthore de marques, cela paraît irréaliste, mais au moins les principales (genre Logitech).
0 -
J'entends bien, mais j'ignore les spécificités (s'il y en a) de ce modem, et de son usage. Mais je pense que les généralités que j'ai déblatéré sont correctes
0 -
Si je fais le le rapprochement avec mon expérience FR/Freebox, j'aurai tendance à dire que le mode routeur est indispensable. Le bridge, c'est ultra chaud niveau sécurité si t'as pas de routeur au cul. Mais après, j'y connais que dalle en modem Belges, donc je laisse la parole à ceux qui s'y connaissent mieux.
0
Haproxy-B
dans Paquets par SynoCommunity.com
Posté(e) · Modifié par chr!x
DS finder:
URL = http://dsm.mondomain.tld, port
, login & pwd, donc ça marche.
DS file:
passe par le port 5005, donc HAProxy inutile, donc ne marche pas.
DS photo+ / DS download / DS audio:
Passe par le port 5000, donc HAProxy inutile, donc ne marche pas.
DS video:
Pas testé. D'après la doc officielle, passe par le port 5000, donc HAProxy inutile, donc ne DEVRAIT pas marcher.
N'oubliez pas que HAProxy traite ce qui arrive sur le port
du modem/routeur en amont.