via78
-
Compteur de contenus
195 -
Inscription
-
Dernière visite
Messages posté(e)s par via78
-
-
bonjour
Bonjour,
voilà quelque chose de claire.
Si tu as l'information pour rediriger vers au pc, par exemple pour une prise en main à distance, ça m'interesse.
pour l'instant haproxy est configuré en mode http, donc je ne pense pas que ce soit possible en l'état.
il existe le mode TCP mais je ne sais pas si ca peux cohabiter.
même si je comprends pas tout c'est un super tuto bravo et vivement la suite
dis moi ce que tu ne comprend pas, ca me permetera d'étoffer le tuto
Via
0 -
Bonjour,
je vous propose un tuto pour HAPROXY mais je souhaite surtout rassembler toutes les options qui sont sur le fofo !!
je remercie donc tous les personnes qui ont postés sur le fofo, ce qui m'a permis d'élaborer ce poste
Haproxy se décompose en 4 parties :
1. Configuration :
Configuration de base et commande pour appliquer les mises à jour
- Ecriture Configuration : permet d’appliquer la configuration que l’on vient de faire
- Générer le certificat : permet de créer certificat SSL qui nous utiliserons lors des connexions https depuis l’extérieur
- Recharger la configuration par defaut
2. Frontends
On définit les ports d’écoutes et les options qui seront utilisés
- Nom du frontend
- Port d’écoute
- Option du frontend
3. Backends
On definit pour chaque backends comment on va discuter avec le syno. (en d’autre thermes : on definit les sorties, apres traitement, de haproxy et donc comment discuter avec les applications du syno)
- Nom du backend
- Adresse IP et Port de sortie (port propre a l’application du syno)
- Des options
4. Associations
On associe un frontend et un backend que l’on veut utiliser sous une condition.
Pour bien commencer :
Le package Haproxy est configurer pour traiter les urls :
- https sur le port 5443
- http sur le port 5080
Donc :
- il faut configurer le firewall de votre « box » pour que tous ce qui vient de l’extérieur en https (port 443) soient redirigé vers l’adresse IP du syno sur le port 5443
- il faut configurer le firewall de votre « box » pour que tous ce qui vient de l’extérieur en http (port
) soient redirigé vers l’adresse IP du syno sur le port 5080
Comme le schéma si dessous :
je vais utiliser l'URL : dsm.monsite.fr comme exemple pour me connecter au DSM de mon synology
Ainsi toutes les tentatives de connexion sur votre syno en http et https seront traitées par haproxy quoi qu’il arrive et il fera l’aiguillage pour vous.
Maintenant il nous reste plus qu’a appliqué la configuration par défaut et créer le certificat.
Je vais expliquer la connexion à l’interface de gestion du syno (dsm) d’un bout à l’autre.
- url tapé sur votre navigateur : https://dsm.monsite.fr donc port 443
- entrée sur le firewall de votre box port 443 et redirigé vers le port 5443 vers l’@IP du syno
-
entrée dans haproxy sur le frontend https :
- entrée sur le port 5443 donc cryptage de la connexion par le certificat généré
-
Une association dit que :
- Si la connexion est bien en https
- Si l’url commence par dms.
- Alors je renvoie vers le backend nommé « dms »
-
Le backend « dsm » dit que :
- Je renvoi la requête vers l’@IP du syno (localhost) et sur le port 5000 et je vérifie que la connexion est OK
Voici le schema explicatif du traitement :
** Firewall du Syno : Bien sûr le port 5000 doit être ouvert sur le Firewall de votre syno !!!
** Configuration de la connexion au DSM : La redirection du port 5000 vers le port 5001 pour le DSM doit être désactivé !!!
Connexion aux applications DS (Ds file, DS Audio, DS Photo etc….)
**Je pars du principe que vous avez activé ces applications, que vous avez téléchargé ces applications sur votre téléphone ou tablette, et que vous vous connectez parfaitement chez vous avec votre WIFI !
**Si ce n’est pas le cas, c’est une doc ou un autre tuto que vous devez consulter avant de suivre la suite.
Ces applications fonctionnent avec les ports suivant (nativement bien sûr) :
DS Photo : port
DS File : port 5005 (c’est le port WEBDAV qui est utilisé)
DS Audio : port 8800
DS Download : port 8000
DS Surveillance : port 9900
DS Video : port 9007
Donc nous devons créer un Backend pour chaque application comme ceci :
Nom : nom de l’application exemple : dsvideo
Serveur : redirection l’IP et le port exemple : dsvideo localhost :9007 check
Voici la liste des Backends que vous allez utiliser si vous restez cartésien dans la dénomination des backends :
Maintenant nous allons créer les associations
Nous allons associer le Frontends HTTPS pour plus de sécurité avec le backends voulu ou correspondant avec une condition.
Nous conditionnons chaque association par le nom du sous domaine que nous voulons utiliser pour l’application DS de notre choix.
Exemple : pour utiliser DS Video, je vais créer une association en Frontend HTTPS et le Backend dsvideo avec la condition que l’adresse internet commence par dsvideo.
Voici ce que vous devez retrouver pour les associations dsvideo et dsphoto :
Je vous laisse faire la suite pour les autres applications DS.
Maintenant la connexion depuis chaque application
Nous devons nous connecter à une application DS suivant les règles que nous avons établie dans haproxy :
Pour l’application dsvideo : l’adresse doit commencer par dsvideo.
Les connexions doivent être sécurisées : HTTPS
Les connexions doivent être sur le port : 443
Le nom de domaine que j’utiliserais dans cet exemple est : site.fr
Mise en forme de l’adresse de connexion : [nom de l’application] . [nom de domaine] :443
Exemple pour l’application dsvideo : dsvideo.site.fr :443
Compte : un compte qui a les droits sur l’application
Mot de passe : mot de passe associé
HTTPS : Activé
**pour l’application photo, le port (:443) n’est pas obligatoire
Rassemblement des informations sur le paramétrage Haproxy.
Bon maintenant que les fonctions de bases sont établies, je vais rassembler ce que j’ai lu sur le fofo et que je pense avoir compris et utilisé pour améliorer le paramétrage.
1. Modification du paramétrage de base :
A. Backend par défaut *
* si votre url ne correspond a aucune regle definit dans haproxy alors les requettes seront envoyées vers un backend, le backend par defaut, qui est dans le frontend que vous utilisé.
Dans le Frontends HTTPS : le "backend par défaut" est "web".
Dans le Frontends HTTP : le "backend par défaut" est "web".
Comme indiqué si dessous :
Ce qui veut dire qu’un mauvaise url entrainera l’accès à votre site web.
!!! Ce qui est vrais pour les requêtes en https mais pas en http parce que l’association n’est pas créé. !!!
Si nous supprimons les 2 backends par defaut, le navigateur renverra :
503 Service Unavailable No server is available to handle this request.
!!! A partir de maintenant je vais donner des options et chaque option doit être séparé par une virgule !!!!
B. Redirection des requette http vers le https
Vous devez éditer le frontend "http" et ajouter dans la partie "option" :
redirect scheme https
C. Exclusion de certaine requette
Maintenant nous voulons exclure certain application de cette règle de redirection, comme les sites web et video par exemple.
il faut compléter option précedent par : "unless { hdr_beg(Host) -i web. video. }"
Ce qui donne au final l'option suivante :
redirect scheme https unless { hdr_beg(Host) -i web. video. }** Par contre l’association doit être crée pour que ça fonctionne.
Donc nous devons créer une "association" entre le frontend "http" et le backend "web" comme ceci (idem pour video)
--------------------------------------------------
Première ACL
(Cette acl fonctionne avec la version 1.5-dev21-11)
cette acl permet de créer une authentification sur un backend comme le .htaccess d'Apache (merci à MEAT)
1) Dans le fichier template de haproxy (/usr/local/haproxy/var/haproxy.cfg.tpl)
Ajoutez à la fin :
userlist my_users user utilisateur insecure-password motdepasseRemplacez "utilisateur" et "motdepasse" par votre login et votre mot de passe. Vous pouvez ajouter autant de ligne "user" que nécessaire
2) Dans l'interface Haproxy, ajouté dans les options du Backend qui doit avoir ce mode de connexion (exemple gateone) cette acl :
nom : gateone Serveurs: gateone localhost:8271 check ssl Option: acl auth_access http_auth(my_users), http-request auth realm Authentification if !auth_access
!! Par contre si l'on veux utiliser cette ACL pour toutes les connexions HTTPS, ajouter cette option dans le Frontend HTTPS comme ceci :
Nom : https Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem Backend par défaut : web Options : option http-server-close,option forwardfor,acl auth_access http_auth(my_users),http-request auth realm Authentification if !auth_access,rspirep ^Location: http://(.*)$ Location: https://1
Bien sur cliquer sur écrire la configuration !!
--------------------------------------------------
je posterais le resultat de mes test sur les ACLs
j'espere que ce poste servira.
Via
PS : Mise a jour pour les connexions aux application DS
0 -
bon ca fonctionne avec ca pour la redirection :
acl cfe_path path_beg /webman/3rdparty/CFE redirect prefix https://cfe.monsite.fr/webman/3rdparty/CFE code 301 if { hdr(Host) -i cfe.monsite.fr } !cfe_pathmaintenant la page ne s'affiche pas !!
mais j'ai le titre qui s'affiche donc le "titre" de la page qui est bien lu.
je pense que c'est peux etre le CGI qui me fait Ch......
Via
0 -
Voilà comment je testerais mais je tâtonne encore avec les ACLs
Entrée => https://photo.monsite.fr
acl photo_path path_beg /photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr } !photo_path
Sortie => https://photo.monsite.fr/photo
Action : clic sur blog donne https://photo.monsite.fr/photo/blog
entrée => https://photo.monsite.fr/photo/blog
acl photo_blog_path path_beg /photo/blog, redirect prefix https://blog.monsite.fr/blog code 301 if { hdr(Host) -i photo.monsite.fr } !photo_blog_path
sortie => https://blog.monsite.fr/blogJe cherche à redirige sur le site blog https://blog.monsite.fr/blog parce que sinon, il faudra des conditions à ta première ACL pour que si tu as "blog" alors /photo doit etre supprimé de l'url et ça je n'ai rien vue dans la doc pour ça.
Encore une fois je ne suis pas expert, j'apprends à faire des ACLs en même temps donc je me plante peux être complètement.
Via
je viens de trouver ca, c'est peux être une piste, a mettre dans le frontend
# Remplacer "photo.monsite.fr/photo/blog" par "photo.monsite.fr/blog" dans le nom d'hôte. reqirep ^Host: photo.monsite.fr/photo/blog Host: photo.monsite.fr/blog #on peux ajouter ca #seulement si ca commence pas photo. unless { hdr_beg(Host) -i photo. }voici l'exemple de la doc :
reqirep <search> <string> [{if | unless} <cond>] (ignore case)
Replace a regular expression with a string in an HTTP request line
May be used in sections :
defaults frontend listen backend
NO YES YES YES
# replace "/static/" with "/" at the beginning of any request path. reqrep ^([^ :]*) /static/(.*) 1 /2 # replace "www.mydomain.com" with "www" in the host name. reqirep ^Host: www.mydomain.com Host: www
Via
0 -
salut a tous,
j'ai le même problème pour haproxy et pour pyload.
je pense qu'il y a eu une modification de la gestion de l'aide du DSM parce que avec DSM 4.0 j'avais l'aide qui fonctionnait. j'en suis au dernier update de la version DSM 4 et sur les 2 derniers update mon aides merde.
Via
0 -
heuu tu as 2 acl portant le meme NOM est ce normale ??
j'ai compris ce qu'il te faut mais je ne sais pas forcement l'ecrire.
si tu trouve ca "/~USERONE/photo" tu en redirige vers ton lien
mais tu trouve et seulement si tu as ca "/blog" tu redirige vers https://USERONE.monsite.fr/~USERONE/blog tu peux travailler avec "unless" au lieu de if. il faut plonger dans la doc pour ca.
tiens moi au jus de ton avancement parce que ca m'intéresse
Via
0 -
alors personne pour m'aider ??
acl acl_cfe path_beg /cfe redirect location https://cfe.monsite.fr/webman/CFE if !acl_cfe
voila comment je tracuit cette ecriture (et c'est peux etre la mon erreur) : si je trouve /cfe dans le debut de l'url, http://cfe.monsite.fr => je redirige vers https//cfe.monsite.fr/webman/CFE)
ais je bien compris ??
use_backend cfe if { hdr_beg(Host) -i cfe. } backend cfe server cfe localhost:5000 checkvoila comment je tracuit cette ecriture (et c'est peux etre la mon erreur) : si l'url commence par cfe. j'utilise le bakend nommé cfe
le backend cfe renvoi vers le port 5000 sur me serveur local et je test ca presence.
voila, est ce que j'ai bien compris ???
et est ce que cette ecriture fonctionne ???
merci de votre aide
Via
0 -
le port se règle dans le backends
Backends : Nom : plex Serveurs : plex localhost:32400 check Options:
mais ton acl va te renvoyer vers https://plex.monsite.fr/plex parce que ton path_plex c'est /plex si j'ai bien compris.
j'ai le meme type de problème comme je l'indique ici :
via
0 -
je ne connais plex,
c'est quoi comme application et le lien
via
0 -
bonjour,
voila ce que je voudrais faire :
(une ACL pour Config File Editor, j'y ajouterais un .htaccess pour sécuriser après)
- url d'entrée depuis l'extérieur : http://cfe.monste.fr
- acl pour rediriger changer l'url en http://cfe.monste.fr/webman/CFE/
renvoyé a mon syno en http://localhost/webman/CFE/
voici ce que j'ai fait
acl cfe hdr_beg(Host) -i cfe. redirect prefix https://cfe.monsite.fr/webman/CFE if cfe
use_backend cfe if { hdr_beg(Host) -i cfe. }backend cfe server cfe localhost:5000 check
ca me sort trop de redirecteur et j'ai ca comme url
http://cfe.monsite.fr/webman/CFE/webman/CFE/webman/CFE/webman/CFE/webman/CFE/webman/CFE/webman/CFE/webman/CFE/
alors j'ai tester en changeant le nom de l'ACL et ca ne change rien.
je pense qu'il me manque un element sur le codage des ACL, et j'ai beau relire la doc, je bloque.
si vous pouvez m'apporter vos lumière sur le sujet.
Merci d'avance.
Via
0 -
bonjour a tous,
un grand merci à NOTHiNG_Fr pour ca conf.
donc voici ce qui fonctionne chez moi
je me permet de mettre ma conf parce que je suis dans la conf "standard" de haproxy
donc
port
vers le 5080port 443 vers le 5443
Frontends : Nom : HTTPS Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem Backend par défaut : web Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg /photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr } !photo_path Nom : HTTP Binds : :5080 Backend par défaut : web Options : option http-server-close,option forwardfor Backends : Nom : photo Serveurs : photo localhost: check Options: Associations : Frontend: HTTPS Backend: photo Condition: if { hdr(Host) -i photo. }et ca fonctionne parfaitement aussi avec mon dsphoto
adresse : photo.monsite.fr
login
mot de passe
https
donc si j'ai un application de mon nas qui fonctionne en local avec un adresse de type http://localhost/application
j'ajoute une acl a mon frontend de ce type : (il faut une virgule pour separer les acl !!)
acl application_path path_beg /application, redirect prefix https://application.monsite.fr/application code 301 if { hdr(Host) -i application.monsite.fr } !application_pathet je crée le Backends et l'Association correspondante
donc je me connecte depuis l'exterieur avec https://application.monsite.fr/ qui est redirigé automatiquement sur https://application.monsite.fr/application
comme ca je reste sur le meme convesion de nomage sur mon NAS pour toutes mes application!
j'espere que ca servira a quelque et que je n'ai pas pollué le poste
Via
1 -
salut,
alors je ne suis pas un expert mais haproxy est utilisé par la communauté pour remplacer le Reverse Proxy (du serveur apache du nas).
- ca permet de se connecter au application web de notre nas avec des noms DNS sans rentrer le port 5000 etc sachant que ces ports sont souvent fermés sur les fire wall des entreprises.
- Haproxy est plus puissant que le Reverse Proxy et donc tu te connecte a toutes tes applications en https si tu le souhaite.
donc en résumé, je ne pense pas que ca remplace les fonctions que tu utilise avec Squid.
parce que si j'ai bien compris, tu te sert de ton nas comme un proxy distant pour aller sur le net. et comme ca c'est ton nas qui fait les requetés et non le proxy de ton taf ou autre......
voila, j'espère avoir apporter de l'eau a ton moulin.
pour les autres questions, je ne peux pas te répondre
Via
0 -
salut,
alors voici ce qui fonctionne chez moi
Frontends : Nom : HTTPS Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem Backend par défaut : web Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg /photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr } !photo_path Nom : HTTP Binds : :5080 Backend par défaut : web Options : option http-server-close,option forwardfor Backends : Nom : photo Serveurs : photo localhost: check Options: Associations : Frontend: HTTPS Backend: photo Condition: if { hdr(Host) -i photo. }et ça marche super bien
Un grand merci
je vais pouvoir faire des acl pour chaque sous site !!!
via
0 -
ok alors si je comprend bien
si je veux que tous cette url https://photo.monsite.com soit rediriger vers https://photo.monsite.com/photo
et tous ca avec les ports standard et je forcer le https sur les connexion http
il faut que j'ecrive ca comme config
Frontends : Nom : HTTPS Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem Backend par défaut : web Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr/ } !photo_path Nom : HTTP Binds : :5080 Backend par défaut : web Options : option http-server-close,option forwardfor Backends : Nom : photo Serveurs : photo localhost: check Options: Associations : Frontend: HTTPS Backend: photo Condition: if { hdr(Host) -i photo.monsite.fr }ai je bien tous compris ?
Via
0 -
salut a tous,
je viens de passer la derniere version et je fais un tour dans l'aide sur le nas et je me retrouve avec ca :
{ "errno" : { "key" : "error_system", "section" : "common" }, "items" : [], "success" : false, "total" : 0 }je ne pense pas que ce soit normal !!
s'il y a un fichier a retouche, donner moi les lignes que je corrige sur mon nas( si je suis le seul dans ce cas bien sur
)mais c'est pas grave en sois.
ou trouvez vous la doc en francais.
les fichiers que j'ai trouvé ne sont pas tres explicit ou je ne sais pas les exploiter.
merci d'avance
Via
0 -
ok merci,
j'avance dans la décortication de ces regelés.
j'aurais peux etre d'autre question
merci en tous ca
Via
0 -
bon personne pour m'aider ??
donc voici ou j'en suis dans le décodage de cette ligne
acl photo_path path_beg /photo/, redirect prefix https://pics.MONDOMAINE.FR/photo code 301 if { hdr(Host) -i pics.MONDOMAINE.FR } !photo_pathtu redirige vers https://pics.mondomaine.fr/photo et si tu as le code 301 en retour (c'est prevu dans la doc haproxy) tu renvoi vers la meme chose mais avec les variables.
déjà ai je bien compris ?
c'est quoi photo_path et path_beg ?
merci d'avance
Via
0 -
bonjour,
je cherche a visualiser photostation avec un lien de la forme, http ou https, photo.nomdedomaine.truc
et j'ai trouvé à la fin de ce poste la solution ou une solution peux etre.
voici la conf. donné par NOTHiNG_Fr (merci encore)
Bon, si ça intéresse quelqu'un, après de longues heures de bataille avec HAProxy et la documentation... j'ai réussi a mettre PhotoStation derriere HAProxy avec un sous-domaine : pics.MONDOMAINE.FR
2 Petites précisions :
-
Le apache de mon syno tourne sur le 10080 et non plus sur le .
- HAproxy tourne sur le / 443
J'ai configurer HAproxy comme cela :
Frontends :
Nom : HTTPS
Binds : :443 ssl crt /usr/local/haproxy/var/crt/default.pem
Backend par défaut : web
Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg /photo/, redirect prefix https://pics.MONDOMAINE.FR/photo code 301 if { hdr(Host) -i pics.MONDOMAINE.FR } !photo_path
Nom : HTTP
Binds : :
Backend par défaut : web
Options : redirect scheme https unless { hdr(Host) -i www.MONDOMAINE.FR }
Backends :
Nom : photostation
Serveurs : photostation localhost:10080 check
Options:
Associations :
Frontend: HTTPS
Backend: Photostation
Condition: if { hdr(Host) -i pics.MONDOMAINE.FR }
j'aurais besoin d'avoir des explications sur ce que j'ai mis en rouge dans cette conf.
au niveau des ports, j'ai pas de probleme, je retrouve mes petits.
j'ai l'impression qui ton site par defaut est forcement www.MONDOMAINE.FR. Je ne peux pas appliquer cette conf sur mon nas. Donc ai je bien compris ou est ce obliguatoire ?
si je comprend bien tes regles acl sont au niveau de la conf general de haproxy alors que je la pensais plus au niveau de l'association.
merci de nous donner plus d'infos sur cette conf qui me semble tres prometteuse et tres interessante.
merci deja du travail
Via
0 -
Le apache de mon syno tourne sur le 10080 et non plus sur le
-
wowo !!!!
la tu m'intéresse !!
j'ai pas tous compris au niveau de ce code, de haproxy.
je regarde sur mon nas ce que j'ai et je reviens avec surement des questions.
mais ca ne me semble pas être le lieu. ( je ne veux pas pourri ce poste)
je peux t'écrire en PM dans ce cas ???
Via
edit : j'ai posté mes questions sur ce lien si tu veux bien y repondre , je t'en remerci d'avance
0 -
donc toujours pas de réponse
donc il n'y a que time machine qui peux répondre a mon problème ?
Via
0 -
bonjour,
je n'arrive pas a créer un virtual host avec Photostation
voila ce que j'ai fais :
<VirtualHost *:> ServerName photo.mondomain.fr DocumentRoot /volume1/@appstore/PhotoStation/target/photo </VirtualHost>
je suis en 4.3 update 4 sur mon DSM.
merci de votre aide et j'espère que l'on pourra utiliser encore cette méthode avec la V5 définitive.
Via
0 -
bon pour le boot,
j'ai trouver il faut que j'ajoute une ligne dans ce fichier /etc/rd.c/rdc.local de type /bin/script.sh
enfin il faut que je change le /bin par un répertoire qui ne change pas lors de la mise a jour syno.
donc il me reste toujours a connaitre la version de mon DSM !!
merci d'avance
Via
PS : si je me plante, corriger moi, c'est pour ca que je met tous ca en ligne aussi
0 -
bonjour,
je ne sais pas si c'est ici que je dois poster ma demande mais ca me semble le plus approprié.
alors voila :
j'aurais besoin de connaitre par script la version du DSM.
explication : a chaque mise a jour, j'ai un fichier a modifier.
donc je veux automatiser avec un script qui se déclenche a chaque démarrage de mon syno et qui contrôle la version de mon syno.
si la version a changer, j'exécute la procédure sinon je passe.
donc j'ai besoin de vérifier la version du DSM et le démarrage du syno.
je pense que le démarrage du syno, je devrais trouver ca sur le net mais je seche sur la version du DSM.
merci d'avance.
Via
0 -
bonjour,
l'outil de sauvegarde et de restauration permet de sauvegarder la conf.
maintenant regarde ce lien et surtout lie les commentaires qui donne des solutions plus simple
http://blog.code-promo.com/changer-le-disque-dur-interne-de-son-synology/
via
0
Haproxy - Aide
dans Paquets par SynoCommunity.com
Posté(e) · Modifié par via78
bonjour,
regarde mon sur haproxy.
je pense que tu trouvera ce que tu veux pour forcer la redirection en HTTPS.
Via