Mettre En Place Une Config Reverse Proxy

[elsynoboy]

Content d'avoir lancé le débat Apache / Nginx

Je suis sur SFR Box, la redirection de port ne pose pas de problème.

CoolRaoul, si tu vois une solution, je suis quand même preneur sur le problème Apache.

Mais je regarde nginx quand même

[elsynoboy]

nginx *semble* aussi simple avec le tuto

Fichier de config tout simple, basé sur le modèle du tuto :

user http;
error_log /var/log/nginx-site-error.log;

events {
    worker_connections  1024;
}

http {

  access_log off;
  proxy_temp_path /var/lib/nginx-local/proxy;
  server {
      listen       *: default_server;
      listen       *:443 default_server ssl;
      server_name  _;
      include ssl_defaults.conf;
      location / {
          proxy_pass  http://localhost:80/;
          include proxy_defaults.conf;
      }
  }
      
  server {
    listen       *:443 ssl;
    server_name  ~^toto..*$;
    underscores_in_headers on; #uniquement necessaire pour le vhost DSM

    include ssl_defaults.conf;
    location / {
      proxy_pass  https://localhost:5001/;
      include proxy_defaults.conf;
    }
  }

}

Mais nginx m'insulte :

/usr/local/etc/rc.d/nginx.sh start
nginx: [emerg] bind() to 0.0.0.0: failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:443 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0: failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:443 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0: failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:443 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0: failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:443 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0: failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:443 failed (98: Address already in use)
nginx: [emerg] still could not bind()

Mais pourquoi tant de haine !

Pourtant un "netstat -a" ne m'affiche pas de LISTENING sur le port ou 443

[CoolRaoul]

J'ai répondu dans le fil nginx, plus approprié que celui ci:

[Trollounet]

Vinky > Je voulais savoir si tu avais finalement réussi à t'en sortir avec le SSL ?

Je suis comme toi, j'utilise un routeur Netgear et impossible de faire pointer le port vers 6080. J'ai mis à jour récemment vers DSM5.0 et du coup j'ai suivi ce nouveau tuto (j'ai le reverse proxy via Apache depuis 2-3 ans maintenant). Cependant comme toi j'ai un problème avec le SSL.

Merci !

[CoolRaoul]

Je suis comme toi, j'utilise un routeur Netgear et impossible de faire pointer le port vers 6080.

Quel modèle?

Modifié le 22 septembre 2014 par CoolRaoul

[Trollounet]

WNR3500L

Modifié le 22 septembre 2014 par Trollounet

[CoolRaoul]

Dingue, un routeur apparemment pas de bas de gamme qui ne sait pas faire du forwarding de port... j'aurais pas cru que ça puisse exister.

Ton FAI ne te fournit pas de box adsl ?

**EDIT**

Sinon ce modèle supporte l’installation d'un firmware alternatif (DD-WRT en l’occurrence, qui supporte bien entendu le port forwarding): http://www.myopenrouter.com/article/36506/How-to-Install-Third-Party-Firmware-on-NETGEAR-WNR3500Lv2/

Si tu n'es pas effrayé de bidouiller, avec ça tu aurais bien plus de latitude de configuration.

Modifié le 22 septembre 2014 par CoolRaoul

[Trollounet]

Merci pour ta réponse rapide ! Si si, j'ai une box avec mon FAI mais je change régulièrement de FAI au gré des promotions et j'aime bien avoir ma conf à part avec mon routeur. Et puis niveau stabilité du wifi y a pas photo.

Passer un après-midi à installer un firmware alternatif et me refrapper toute la conf de mon routeur sans aucune garantie que ça fonctionne m'enchante moyen-moyen !

Surtout que le reverse proxy via Apache a toujours très bien fonctionné jusqu'à maintenant et que je sens que là je suis à une ligne de le faire marcher vu que ça fonctionne bien pour le http. Je vais attendre le retour de Vinky.

[CoolRaoul]

Si si, j'ai une box avec mon FAI mais je change régulièrement de FAI au gré des promotions et j'aime bien avoir ma conf à part avec mon routeur. Et puis niveau stabilité du wifi y a pas photo.

En ce qui concerne le WIFI, Tu as la solution alternative de désactiver celui de la Box et utiliser le netgear en Hotspot et laisser les fonctions routeur sur la box/

Passer un après-midi à installer un firmware alternatif et me refrapper toute la conf de mon routeur sans aucune garantie que ça fonctionne m'enchante moyen-moyen !

Je trouve juste dommage d'avoir justement choisi chez Netgear un modèle de la gamme "open source" (suffixe L) dont le principal avantage est justement l'ouverture aux firmwares alternatifs (ce qui explique probablement que le firmware natif soit un peu bridé) et de ne pas aller au bout de la démarche.

Surtout que le reverse proxy via Apache a toujours très bien fonctionné jusqu'à maintenant et que je sens que là je suis à une ligne de le faire marcher vu que ça fonctionne bien pour le http. Je vais attendre le retour de Vinky.

Ok, comme tu voudras. Tu me vois désolé de ne plus facilement pouvoir assurer le support du reverse proxy (alors que j'ai pondu le tuto). Vu que j'ai migré vers nginx, par suite il m'est désormais moins évident de reproduire les manip sur mon NAS perso

[Vinky]

@Trollounet : Aucun souci pour le ssl de mon côté.

Si tu me donnes un peu plus de détails sur ton souci j'essaierai de t'aider

Si c'est en référence à mes erreurs :

EDIT : Bon... je te remercie CoolRaoul, tu m'as répondu (mais pas à moi et dans un autre topic) faut bien activer HTTPS et pas seulement sur les paramètre de dsm, aussi sur le service web)

[fredericbayol]

Bonsoir,

J'ai crée mes reverse proxy avec l'aide de la page 8 en particulier, j'ai par exemple accès à l'interface de l'appli dsaudio en utilisant l'URL : https://dsaudio.nas.mondomaine.com

Nickel, merci.

Par contre (car sinon c'était pas marrant), je n'arrive pas à utiliser l'application DS Audio de mon téléphone Android par exemple en mettant le paramètre "dsaudio.nas.mondomaine.com" et en cochant "HTTPS". Alors qu'en mettant l'IP locale cela fonctionne.

Quelqu'un a une idée svp?

Note : Et c'est pareil avec toutes les applications installées (dsaudio, dsfile, danote, dsvideo,dlstation) (hormis ds photo)

Modifié le 28 septembre 2014 par fredericbayol

[Vinky]

pareil pour moi, la seule solution a été d'utiliser directement : https://nas.mondomaine.com qui mène vers l'interface générale de DSM. (ce que je ne trouve pas gênant au final)

[Diaoul]

Par défaut, l'appli prendra le port du service au lieu de prendre le port https standard (443). Par conséquent il faut rajouter :443 à la fin de l'URL pour fixer le numéro de port.

[Vinky]

+1 diaoul. Ça me semblait tellement évident que j'en ai oublié de le rappeler.

[fredericbayol]

@Diaoul, @Vinky : Oui c'était tellement évident que ça ne m'a pas effleuré l'esprit l'ombre d'une nano-seconde.

Mais en tous cas, c'est la solution. Ça marche nickel sur téléphone et tablette

Un grand merci à vous

[fredericbayol]

Bonjour,

A la suite de la création de tous mes vhosts (, j'ai découvert un problème. Il se trouve que toutes mes sauvegardes réalisées avec l'outil "Sauvegarde et Réplication" sont en échec.

Si je diminue le nombre de vhosts dans le fichier httpd-ssl-vhost.conf-user pour n'en mettre que 3 mes sauvegardes fonctionnent à nouveau. Je passe à 4 vhosts, ça marche plus.

Je reviens à 3 ça remarche

Quelqu'un a une idée du pourquoi?

Y a t-il une limite haute sur le nombre de vhosts?

Merci

[CoolRaoul]

Faut éviter de toucher directement aux fichiers "/usr/syno/etc/httpd-ssl-vhost.conf-user" et "/usr/syno/etc/httpd-vhost.conf-user"

Leur contenu est géré par DSM et est "parsé" lors de la sauvegarde de la configuration (qui est systématiquement faite lors de chaque job de sauvegarde). Si l'outil de sauvegarde ne comprend pas son contenu il peut planter.

J'avais mis le doigt sur ce point il y a un bout de temps déjà (on était encore en DSM 4 alors):

D'ailleurs, c'est en partie pour éviter cette obligation d'avoir à éditer des fichiers systèmes, avec les effets de bords indésirables qui peuvent survenir sans prévenir à chaque update de DSM, que j'ai choisi de définitivement abandonner la méthode apache pour passer à nginx pour implémenter le reverse proxy

Modifié le 2 octobre 2014 par CoolRaoul

[hemistiche]

Bonjour à tous,

J'ai longuement parcourru le sujet car je n'arrivais pas à refaire fonctionner mes VirtualHost depuis le passage en 5.0 (peut-être même avant en fait). Peut importe le lien http://xxx.mondomaine.com ou https://xxx.mondomaine.com que j'utilisais, je tombais toujours sur mon www/index.html.

J'ai donc trouvé la solution ici : http://primalcortex.wordpress.com/2014/03/14/synology-dsm-5-web-station-and-virtual-sites-for-filestation/

Edit file /etc/httpd/conf/extra/httpd-ssl.conf-user and comment out the ServerName and ServerAlias like this

#ServerName *

#ServerAlias *

Ce qui, je suppose, redirigeait en priorité tous les accès SSL. Même s'il s'agit normalement que des connexions HTTPS, ça me bloquait aussi les connexions HTTP, je ne sais pas pourquoi...

Voilà, je me suis dit que ça pourrait aider quelqu'un d'autre.

[CoolRaoul]

Manip à ne faire qu'en connaissance de cause (CF mon message précédent) et donc sans aucune garantie de l'absence d'effet de bord pernicieux et non désiré.

[Malta]

Hello,

Je suis en train d'essayer de mettre en place une solution comme ça pour faire tourner un blog sous ghost : ça y est, ça tourne, mon blog est disponible...sur le port 2368 ! Pour pouvoir y accéder depuis le port , j'ai essayé de faire la première méthode (apache) en rajoutant ça dans mon revproxy.conf

<IfModule !proxy_module>
LoadModule proxy_module modules/mod_proxy.so
</IfModule>

<IfModule !proxy_connect_module>
LoadModule proxy_connect_module modules/mod_proxy_connect.so
</IfModule>

<IfModule !proxy_http_module>
LoadModule proxy_http_module modules/mod_proxy_http.so
</IfModule>

<IfModule !proxy_ftp_module>
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
</IfModule>
NameVirtualHost *:

<VirtualHost *:>
ServerName *
DocumentRoot /var/services/web
</VirtualHost>

<VirtualHost *:>            
ServerName monBlog.sytes.net   
ProxyPreserveHost on          
ProxyPass / http://localhost:2368/
ProxyPassReverse / http://localhost:2368/
</VirtualHost>                           

ça ne fonctionne pas... une idée ? (sachant qu'on peut bien sûr me proposer de passer à nginx, mais qu'il faut prendre en compte que comme je suis sur un DS109, je ne peux pas passer à DSM 5)

D'avance merci !

[pews]

Une question peut être idiote mais je la pose quand même. Pourquoi utiliser ce tuto pour réaliser un reverse proxy alors qu'il existe le paquet HAProxy sur la communauté Syno ?

Merci d'avance pour vos lumières.

[CoolRaoul]

Une question peut être idiote mais je la pose quand même. Pourquoi utiliser ce tuto pour réaliser un reverse proxy alors qu'il existe le paquet HAProxy sur la communauté Syno ?

La methode utilisant haproxy necessite de disposer d'une box (ou modem routeur) sachant faire de la redirection en changeant le numéro de port (exemple port externe -> port 5580 sur le NAS).

Les BOX de certains FAI (en suisse si je me souviens bien) ne savent pas faire.

[pews]

J'ai compris. Merci

[Malta]

hello,

de mon côté la réponse est beaucoup plus simple : j'ignorais ce qu'était haproxy, et encore plus qu'il y avait un paquet disponible. Comme ça a l'air effectivement plus simple, j'ai essayé, mais je n'en tire rien de plus. Si j'ai bien compris, il faut que je redirige le vers le 5080 sur ma box, puis que je me définisse un back que je peux appeler ghost et qui contienne ghost localhost:2368 check, puis une association qui ressemble à : front http, back ghost et règle if { hdr_beg(Host) -i monBlog.} (sachant que j'ai fait pointer le nom de domaine monBlog.sytes.net sur mon ip fixe publique).

Mais ça ne marche pas mieux. Le reste des redirections de Haproxy semble fonctionner (j'accède à photostation, un site perso dans web...)

Voyez-vous d'où cela pourrait venir ? (du côté "conf apache" ou " conf hap"...

Bonne soirée !

[pews]

Au lieu de "ghost localhost:2368", j'aurais mis : "monblog localhost:2368"