via78

bonjour, regarde mon sur haproxy. je pense que tu trouvera ce que tu veux pour forcer la redirection en HTTPS. Via

bonjour pour l'instant haproxy est configuré en mode http, donc je ne pense pas que ce soit possible en l'état. il existe le mode TCP mais je ne sais pas si ca peux cohabiter. dis moi ce que tu ne comprend pas, ca me permetera d'étoffer le tuto Via

Bonjour, je vous propose un tuto pour HAPROXY mais je souhaite surtout rassembler toutes les options qui sont sur le fofo !! je remercie donc tous les personnes qui ont postés sur le fofo, ce qui m'a permis d'élaborer ce poste Haproxy se décompose en 4 parties : 1. Configuration : Configuration de base et commande pour appliquer les mises à jour Ecriture Configuration : permet d’appliquer la configuration que l’on vient de faire Générer le certificat : permet de créer certificat SSL qui nous utiliserons lors des connexions https depuis l’extérieur Recharger la configuration par defaut 2. Frontends On définit les ports d’écoutes et les options qui seront utilisés Nom du frontend Port d’écoute Option du frontend 3. Backends On definit pour chaque backends comment on va discuter avec le syno. (en d’autre thermes : on definit les sorties, apres traitement, de haproxy et donc comment discuter avec les applications du syno) Nom du backend Adresse IP et Port de sortie (port propre a l’application du syno) Des options 4. Associations On associe un frontend et un backend que l’on veut utiliser sous une condition. Pour bien commencer : Le package Haproxy est configurer pour traiter les urls : https sur le port 5443 http sur le port 5080 Donc : il faut configurer le firewall de votre « box » pour que tous ce qui vient de l’extérieur en https (port 443) soient redirigé vers l’adresse IP du syno sur le port 5443 il faut configurer le firewall de votre « box » pour que tous ce qui vient de l’extérieur en http (port ) soient redirigé vers l’adresse IP du syno sur le port 5080 Comme le schéma si dessous : je vais utiliser l'URL : dsm.monsite.fr comme exemple pour me connecter au DSM de mon synology Ainsi toutes les tentatives de connexion sur votre syno en http et https seront traitées par haproxy quoi qu’il arrive et il fera l’aiguillage pour vous. Maintenant il nous reste plus qu’a appliqué la configuration par défaut et créer le certificat. Je vais expliquer la connexion à l’interface de gestion du syno (dsm) d’un bout à l’autre. url tapé sur votre navigateur : https://dsm.monsite.fr donc port 443 entrée sur le firewall de votre box port 443 et redirigé vers le port 5443 vers l’@IP du syno entrée dans haproxy sur le frontend https : entrée sur le port 5443 donc cryptage de la connexion par le certificat généré Une association dit que : Si la connexion est bien en https Si l’url commence par dms. Alors je renvoie vers le backend nommé « dms » Le backend « dsm » dit que : Je renvoi la requête vers l’@IP du syno (localhost) et sur le port 5000 et je vérifie que la connexion est OK Voici le schema explicatif du traitement : ** Firewall du Syno : Bien sûr le port 5000 doit être ouvert sur le Firewall de votre syno !!! ** Configuration de la connexion au DSM : La redirection du port 5000 vers le port 5001 pour le DSM doit être désactivé !!! Connexion aux applications DS (Ds file, DS Audio, DS Photo etc….) **Je pars du principe que vous avez activé ces applications, que vous avez téléchargé ces applications sur votre téléphone ou tablette, et que vous vous connectez parfaitement chez vous avec votre WIFI ! **Si ce n’est pas le cas, c’est une doc ou un autre tuto que vous devez consulter avant de suivre la suite. Ces applications fonctionnent avec les ports suivant (nativement bien sûr) : DS Photo : port DS File : port 5005 (c’est le port WEBDAV qui est utilisé) DS Audio : port 8800 DS Download : port 8000 DS Surveillance : port 9900 DS Video : port 9007 Donc nous devons créer un Backend pour chaque application comme ceci : Nom : nom de l’application exemple : dsvideo Serveur : redirection l’IP et le port exemple : dsvideo localhost :9007 check Voici la liste des Backends que vous allez utiliser si vous restez cartésien dans la dénomination des backends : Maintenant nous allons créer les associations Nous allons associer le Frontends HTTPS pour plus de sécurité avec le backends voulu ou correspondant avec une condition. Nous conditionnons chaque association par le nom du sous domaine que nous voulons utiliser pour l’application DS de notre choix. Exemple : pour utiliser DS Video, je vais créer une association en Frontend HTTPS et le Backend dsvideo avec la condition que l’adresse internet commence par dsvideo. Voici ce que vous devez retrouver pour les associations dsvideo et dsphoto : Je vous laisse faire la suite pour les autres applications DS. Maintenant la connexion depuis chaque application Nous devons nous connecter à une application DS suivant les règles que nous avons établie dans haproxy : Pour l’application dsvideo : l’adresse doit commencer par dsvideo. Les connexions doivent être sécurisées : HTTPS Les connexions doivent être sur le port : 443 Le nom de domaine que j’utiliserais dans cet exemple est : site.fr Mise en forme de l’adresse de connexion : [nom de l’application] . [nom de domaine] :443 Exemple pour l’application dsvideo : dsvideo.site.fr :443 Compte : un compte qui a les droits sur l’application Mot de passe : mot de passe associé HTTPS : Activé **pour l’application photo, le port (:443) n’est pas obligatoire Rassemblement des informations sur le paramétrage Haproxy. Bon maintenant que les fonctions de bases sont établies, je vais rassembler ce que j’ai lu sur le fofo et que je pense avoir compris et utilisé pour améliorer le paramétrage. 1. Modification du paramétrage de base : A. Backend par défaut * * si votre url ne correspond a aucune regle definit dans haproxy alors les requettes seront envoyées vers un backend, le backend par defaut, qui est dans le frontend que vous utilisé. Dans le Frontends HTTPS : le "backend par défaut" est "web". Dans le Frontends HTTP : le "backend par défaut" est "web". Comme indiqué si dessous : Ce qui veut dire qu’un mauvaise url entrainera l’accès à votre site web. !!! Ce qui est vrais pour les requêtes en https mais pas en http parce que l’association n’est pas créé. !!! Si nous supprimons les 2 backends par defaut, le navigateur renverra : 503 Service Unavailable No server is available to handle this request. !!! A partir de maintenant je vais donner des options et chaque option doit être séparé par une virgule !!!! B. Redirection des requette http vers le https Vous devez éditer le frontend "http" et ajouter dans la partie "option" : redirect scheme https C. Exclusion de certaine requette Maintenant nous voulons exclure certain application de cette règle de redirection, comme les sites web et video par exemple. il faut compléter option précedent par : "unless { hdr_beg(Host) -i web. video. }" Ce qui donne au final l'option suivante : redirect scheme https unless { hdr_beg(Host) -i web. video. } ** Par contre l’association doit être crée pour que ça fonctionne. Donc nous devons créer une "association" entre le frontend "http" et le backend "web" comme ceci (idem pour video) -------------------------------------------------- Première ACL (Cette acl fonctionne avec la version 1.5-dev21-11) cette acl permet de créer une authentification sur un backend comme le .htaccess d'Apache (merci à MEAT) 1) Dans le fichier template de haproxy (/usr/local/haproxy/var/haproxy.cfg.tpl) Ajoutez à la fin : userlist my_users user utilisateur insecure-password motdepasse Remplacez "utilisateur" et "motdepasse" par votre login et votre mot de passe. Vous pouvez ajouter autant de ligne "user" que nécessaire 2) Dans l'interface Haproxy, ajouté dans les options du Backend qui doit avoir ce mode de connexion (exemple gateone) cette acl : nom : gateone Serveurs: gateone localhost:8271 check ssl Option: acl auth_access http_auth(my_users), http-request auth realm Authentification if !auth_access !! Par contre si l'on veux utiliser cette ACL pour toutes les connexions HTTPS, ajouter cette option dans le Frontend HTTPS comme ceci : Nom : https Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem Backend par défaut : web Options : option http-server-close,option forwardfor,acl auth_access http_auth(my_users),http-request auth realm Authentification if !auth_access,rspirep ^Location: http://(.*)$ Location: https://1 Bien sur cliquer sur écrire la configuration !! -------------------------------------------------- je posterais le resultat de mes test sur les ACLs j'espere que ce poste servira. Via PS : Mise a jour pour les connexions aux application DS

bon ca fonctionne avec ca pour la redirection : acl cfe_path path_beg /webman/3rdparty/CFE redirect prefix https://cfe.monsite.fr/webman/3rdparty/CFE code 301 if { hdr(Host) -i cfe.monsite.fr } !cfe_path maintenant la page ne s'affiche pas !! mais j'ai le titre qui s'affiche donc le "titre" de la page qui est bien lu. je pense que c'est peux etre le CGI qui me fait Ch...... Via

Voilà comment je testerais mais je tâtonne encore avec les ACLs Entrée => https://photo.monsite.fr acl photo_path path_beg /photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr } !photo_path Sortie => https://photo.monsite.fr/photo Action : clic sur blog donne https://photo.monsite.fr/photo/blog entrée => https://photo.monsite.fr/photo/blog acl photo_blog_path path_beg /photo/blog, redirect prefix https://blog.monsite.fr/blog code 301 if { hdr(Host) -i photo.monsite.fr } !photo_blog_path sortie => https://blog.monsite.fr/blog Je cherche à redirige sur le site blog https://blog.monsite.fr/blog parce que sinon, il faudra des conditions à ta première ACL pour que si tu as "blog" alors /photo doit etre supprimé de l'url et ça je n'ai rien vue dans la doc pour ça. Encore une fois je ne suis pas expert, j'apprends à faire des ACLs en même temps donc je me plante peux être complètement. Via je viens de trouver ca, c'est peux être une piste, a mettre dans le frontend # Remplacer "photo.monsite.fr/photo/blog" par "photo.monsite.fr/blog" dans le nom d'hôte. reqirep ^Host: photo.monsite.fr/photo/blog Host: photo.monsite.fr/blog #on peux ajouter ca #seulement si ca commence pas photo. unless { hdr_beg(Host) -i photo. } voici l'exemple de la doc : reqirep <search> <string> [{if | unless} <cond>] (ignore case) Replace a regular expression with a string in an HTTP request line May be used in sections : defaults frontend listen backend NO YES YES YES # replace "/static/" with "/" at the beginning of any request path. reqrep ^([^ :]*) /static/(.*) 1 /2 # replace "www.mydomain.com" with "www" in the host name. reqirep ^Host: www.mydomain.com Host: www Via

salut a tous, j'ai le même problème pour haproxy et pour pyload. je pense qu'il y a eu une modification de la gestion de l'aide du DSM parce que avec DSM 4.0 j'avais l'aide qui fonctionnait. j'en suis au dernier update de la version DSM 4 et sur les 2 derniers update mon aides merde. Via

heuu tu as 2 acl portant le meme NOM est ce normale ?? j'ai compris ce qu'il te faut mais je ne sais pas forcement l'ecrire. si tu trouve ca "/~USERONE/photo" tu en redirige vers ton lien mais tu trouve et seulement si tu as ca "/blog" tu redirige vers https://USERONE.monsite.fr/~USERONE/blog tu peux travailler avec "unless" au lieu de if. il faut plonger dans la doc pour ca. tiens moi au jus de ton avancement parce que ca m'intéresse Via

alors personne pour m'aider ?? acl acl_cfe path_beg /cfe redirect location https://cfe.monsite.fr/webman/CFE if !acl_cfe voila comment je tracuit cette ecriture (et c'est peux etre la mon erreur) : si je trouve /cfe dans le debut de l'url, http://cfe.monsite.fr => je redirige vers https//cfe.monsite.fr/webman/CFE) ais je bien compris ?? use_backend cfe if { hdr_beg(Host) -i cfe. } backend cfe server cfe localhost:5000 check voila comment je tracuit cette ecriture (et c'est peux etre la mon erreur) : si l'url commence par cfe. j'utilise le bakend nommé cfe le backend cfe renvoi vers le port 5000 sur me serveur local et je test ca presence. voila, est ce que j'ai bien compris ??? et est ce que cette ecriture fonctionne ??? merci de votre aide Via

le port se règle dans le backends Backends : Nom : plex Serveurs : plex localhost:32400 check Options: mais ton acl va te renvoyer vers https://plex.monsite.fr/plex parce que ton path_plex c'est /plex si j'ai bien compris. j'ai le meme type de problème comme je l'indique ici : via

je ne connais plex, c'est quoi comme application et le lien via

bonjour, voila ce que je voudrais faire : (une ACL pour Config File Editor, j'y ajouterais un .htaccess pour sécuriser après) - url d'entrée depuis l'extérieur : http://cfe.monste.fr - acl pour rediriger changer l'url en http://cfe.monste.fr/webman/CFE/ renvoyé a mon syno en http://localhost/webman/CFE/ voici ce que j'ai fait acl cfe hdr_beg(Host) -i cfe. redirect prefix https://cfe.monsite.fr/webman/CFE if cfe use_backend cfe if { hdr_beg(Host) -i cfe. } backend cfe server cfe localhost:5000 check ca me sort trop de redirecteur et j'ai ca comme url http://cfe.monsite.fr/webman/CFE/webman/CFE/webman/CFE/webman/CFE/webman/CFE/webman/CFE/webman/CFE/webman/CFE/ alors j'ai tester en changeant le nom de l'ACL et ca ne change rien. je pense qu'il me manque un element sur le codage des ACL, et j'ai beau relire la doc, je bloque. si vous pouvez m'apporter vos lumière sur le sujet. Merci d'avance. Via

bonjour a tous, un grand merci à NOTHiNG_Fr pour ca conf. donc voici ce qui fonctionne chez moi je me permet de mettre ma conf parce que je suis dans la conf "standard" de haproxy donc port vers le 5080 port 443 vers le 5443 Frontends : Nom : HTTPS Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem Backend par défaut : web Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg /photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr } !photo_path Nom : HTTP Binds : :5080 Backend par défaut : web Options : option http-server-close,option forwardfor Backends : Nom : photo Serveurs : photo localhost: check Options: Associations : Frontend: HTTPS Backend: photo Condition: if { hdr(Host) -i photo. } et ca fonctionne parfaitement aussi avec mon dsphoto adresse : photo.monsite.fr login mot de passe https donc si j'ai un application de mon nas qui fonctionne en local avec un adresse de type http://localhost/application j'ajoute une acl a mon frontend de ce type : (il faut une virgule pour separer les acl !!) acl application_path path_beg /application, redirect prefix https://application.monsite.fr/application code 301 if { hdr(Host) -i application.monsite.fr } !application_path et je crée le Backends et l'Association correspondante donc je me connecte depuis l'exterieur avec https://application.monsite.fr/ qui est redirigé automatiquement sur https://application.monsite.fr/application comme ca je reste sur le meme convesion de nomage sur mon NAS pour toutes mes application! j'espere que ca servira a quelque et que je n'ai pas pollué le poste Via

salut, alors je ne suis pas un expert mais haproxy est utilisé par la communauté pour remplacer le Reverse Proxy (du serveur apache du nas). - ca permet de se connecter au application web de notre nas avec des noms DNS sans rentrer le port 5000 etc sachant que ces ports sont souvent fermés sur les fire wall des entreprises. - Haproxy est plus puissant que le Reverse Proxy et donc tu te connecte a toutes tes applications en https si tu le souhaite. donc en résumé, je ne pense pas que ca remplace les fonctions que tu utilise avec Squid. parce que si j'ai bien compris, tu te sert de ton nas comme un proxy distant pour aller sur le net. et comme ca c'est ton nas qui fait les requetés et non le proxy de ton taf ou autre...... voila, j'espère avoir apporter de l'eau a ton moulin. pour les autres questions, je ne peux pas te répondre Via

salut, alors voici ce qui fonctionne chez moi Frontends : Nom : HTTPS Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem Backend par défaut : web Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg /photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr } !photo_path Nom : HTTP Binds : :5080 Backend par défaut : web Options : option http-server-close,option forwardfor Backends : Nom : photo Serveurs : photo localhost: check Options: Associations : Frontend: HTTPS Backend: photo Condition: if { hdr(Host) -i photo. } et ça marche super bien Un grand merci je vais pouvoir faire des acl pour chaque sous site !!! via

ok alors si je comprend bien si je veux que tous cette url https://photo.monsite.com soit rediriger vers https://photo.monsite.com/photo et tous ca avec les ports standard et je forcer le https sur les connexion http il faut que j'ecrive ca comme config Frontends : Nom : HTTPS Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem Backend par défaut : web Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr/ } !photo_path Nom : HTTP Binds : :5080 Backend par défaut : web Options : option http-server-close,option forwardfor Backends : Nom : photo Serveurs : photo localhost: check Options: Associations : Frontend: HTTPS Backend: photo Condition: if { hdr(Host) -i photo.monsite.fr } ai je bien tous compris ? Via

salut a tous, je viens de passer la derniere version et je fais un tour dans l'aide sur le nas et je me retrouve avec ca : { "errno" : { "key" : "error_system", "section" : "common" }, "items" : [], "success" : false, "total" : 0 } je ne pense pas que ce soit normal !! s'il y a un fichier a retouche, donner moi les lignes que je corrige sur mon nas( si je suis le seul dans ce cas bien sur ) mais c'est pas grave en sois. ou trouvez vous la doc en francais. les fichiers que j'ai trouvé ne sont pas tres explicit ou je ne sais pas les exploiter. merci d'avance Via

ok merci, j'avance dans la décortication de ces regelés. j'aurais peux etre d'autre question merci en tous ca Via

bon personne pour m'aider ?? donc voici ou j'en suis dans le décodage de cette ligne acl photo_path path_beg /photo/, redirect prefix https://pics.MONDOMAINE.FR/photo code 301 if { hdr(Host) -i pics.MONDOMAINE.FR } !photo_path tu redirige vers https://pics.mondomaine.fr/photo et si tu as le code 301 en retour (c'est prevu dans la doc haproxy) tu renvoi vers la meme chose mais avec les variables. déjà ai je bien compris ? c'est quoi photo_path et path_beg ? merci d'avance Via

bonjour, je cherche a visualiser photostation avec un lien de la forme, http ou https, photo.nomdedomaine.truc et j'ai trouvé à la fin de ce poste la solution ou une solution peux etre. voici la conf. donné par NOTHiNG_Fr (merci encore) j'aurais besoin d'avoir des explications sur ce que j'ai mis en rouge dans cette conf. au niveau des ports, j'ai pas de probleme, je retrouve mes petits. j'ai l'impression qui ton site par defaut est forcement www.MONDOMAINE.FR. Je ne peux pas appliquer cette conf sur mon nas. Donc ai je bien compris ou est ce obliguatoire ? si je comprend bien tes regles acl sont au niveau de la conf general de haproxy alors que je la pensais plus au niveau de l'association. merci de nous donner plus d'infos sur cette conf qui me semble tres prometteuse et tres interessante. merci deja du travail Via

wowo !!!! la tu m'intéresse !! j'ai pas tous compris au niveau de ce code, de haproxy. je regarde sur mon nas ce que j'ai et je reviens avec surement des questions. mais ca ne me semble pas être le lieu. ( je ne veux pas pourri ce poste) je peux t'écrire en PM dans ce cas ??? Via edit : j'ai posté mes questions sur ce lien si tu veux bien y repondre , je t'en remerci d'avance

donc toujours pas de réponse donc il n'y a que time machine qui peux répondre a mon problème ? Via

bonjour, je n'arrive pas a créer un virtual host avec Photostation voila ce que j'ai fais : <VirtualHost *:> ServerName photo.mondomain.fr DocumentRoot /volume1/@appstore/PhotoStation/target/photo </VirtualHost> je suis en 4.3 update 4 sur mon DSM. merci de votre aide et j'espère que l'on pourra utiliser encore cette méthode avec la V5 définitive. Via

bon pour le boot, j'ai trouver il faut que j'ajoute une ligne dans ce fichier /etc/rd.c/rdc.local de type /bin/script.sh enfin il faut que je change le /bin par un répertoire qui ne change pas lors de la mise a jour syno. donc il me reste toujours a connaitre la version de mon DSM !! merci d'avance Via PS : si je me plante, corriger moi, c'est pour ca que je met tous ca en ligne aussi

bonjour, je ne sais pas si c'est ici que je dois poster ma demande mais ca me semble le plus approprié. alors voila : j'aurais besoin de connaitre par script la version du DSM. explication : a chaque mise a jour, j'ai un fichier a modifier. donc je veux automatiser avec un script qui se déclenche a chaque démarrage de mon syno et qui contrôle la version de mon syno. si la version a changer, j'exécute la procédure sinon je passe. donc j'ai besoin de vérifier la version du DSM et le démarrage du syno. je pense que le démarrage du syno, je devrais trouver ca sur le net mais je seche sur la version du DSM. merci d'avance. Via

bonjour, l'outil de sauvegarde et de restauration permet de sauvegarder la conf. maintenant regarde ce lien et surtout lie les commentaires qui donne des solutions plus simple http://blog.code-promo.com/changer-le-disque-dur-interne-de-son-synology/ via