Mettre En Place Une Config Reverse Proxy

[Sylm_fr]

Salut,

je viens de faire la migration en 5.0 et j'ai un problème:

Tous mes reverse proxy fonctionnent toujours

Je m'explique après la migration je n'ai modifié aucun fichier et pas le httpd.conf-user pour ajouter le Include vers /usr/local/etc/http.d/httpd-proxy-vhost.conf

le systeme se comporte comme s'il prenait automatiquement en compte mon fichier ??

Donc je me suis dit la migration a "gardé" mon Include de la 4.3 mais si je regarde tous les include (grep -i include *) donc le repertoire /etc/httpd/conf je ne retrouve aucun include vers /usr/local/etc

J'ai modifié mon fichier de conf reverse proxy camerac.mondomaine.com est devenu cameraj.mondomaine.com, j'ai relance le httpd-user avec la nouvelle commande et mon changement de config s'applique très bien

camerac ne marche plus et cameraj fonctionne très bien

bref ca marche mais je comprends pas pourquoi et ca ne devrait pas et clairement ca m'enerve !!!!!

[Edit 23:55]

A y est j'ai compris :-)

En fait j'avais pas exactement suivi le tuto initial.... bouh pas bien !

En 4.3 j'avais ajouté la ligne include dans le fichier httpd-vhost.conf-user.

Ce fichier a été migré sans modification en 5.0 vers le répertoire /etc/httpd/sites-enabled-user/

Ceci explique que mon fichier de config Reverse Proxy soit toujours actif et valide même après la migration

Et du coup ca me revient j'avais préfére ce fichier car il est sensé contenir les vitualhost définis dans l'interface. Comme les virtualhost sont incompatible avec le reverse proxy j'avais préféré ce fichier car justement il etait migré sans être écrasé.. cqfd

Bon en tout cas je confirme que le reverse proxy Apache est bien fonctionnel en 5.0 !! youpi

Modifié le 12 mars 2014 par Sylm

[KZL]

En effet, le reverse proxy marche. J'ai eu un retard à la prise en compte. Peut-être une histoire de cache ?

Quoiqu'il en soit faut juste prendre en compte la modification d'emplacement d'apache vers /etc/httpd/

Merci de l'info, je pensais en effet que cela ne marcherait plus en 5.0. Et j'ai testé ce matin tout était ok !

[nums69]

ça marche très bien avec l'update dsm 5, merci

[oryx86]

en DSM 5 impossible de faire fonctionner chez moi le reverse proxy pour pointer vers l'interface d'admin :/

J'ai pourtant bien suivi les instructions de la FP .

Mon problème vient du fait que j'utilise un domaine déjà un sous domaine pour pointer vers mon nas du genre : <sousdomaine>.<domain>.fr

Comment est ce que je dois adapter ce bloc là ?

<VirtualHost *:443>
ServerName webman.mondomaine.com
SSLCipherSuite HIGH:MEDIUM
SSLProtocol all -SSLv2
SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
SSLEngine on
SSLProxyEngine on

ProxyPass / https://localhost:5001/
ProxyPassReverse / https://localhost:5001/
</VirtualHost>

vu que je peux pas utiliser une URL du genre : <sous-sous-domaine>.<sousdomaine>.<domain>.fr

Il faudrait que j'utilise un "filtre" par PATH du genre je redirige les requetes sur le / vers l'admin, et par exemple si le path est /audio je redirige vers audiostation...

Je ne comprends pas comment faire, si quelqu'un a une idée je suis preneur

[CoolRaoul]

Faut commencer par supprimer les lignes "SSLCipherSuite", on en a parlé il y a déja longtemps dans un autre fil

Faut que je pense à modifier le tuto sur ce point.

Et sinon pour ton probleme je ne vois pas pourquoi ça ne marcherait pas.

Pas besoin de faire un "sous-sous" domaine

suffit d'utiliser pour l'interface d'admin un sous-domaine différent.

Modifié le 12 mars 2014 par CoolRaoul

[oryx86]

Faut commencer par supprimer les lignes "SSLCipherSuite", on en a parlé il y a déja longtemps dans un autre fil

Faut que je pense à modifier le tuto sur ce point.

Et sinon pour ton probleme je ne vois pas pourquoi ça ne marcherait pas.

Pas besoin de faire un "sous-sous" domaine

suffit d'utiliser pour l'interface d'admin un sous-domaine différent.

Merci pour ta réponse.

Le problème c'est qu'avec le certificat StartSSL je ne pense pas pouvoir avoir un autre sous domaine...

Il y'a moyen de filtrer sur le Path ?

[CoolRaoul]

Le problème c'est qu'avec le certificat StartSSL je ne pense pas pouvoir avoir un autre sous domaine...

Il y'a moyen de filtrer sur le Path ?

Là ca dépasse mes compétences: je ne sais même pas ce qu'est un "certificat startssl".

Les sous-domaines je me contente de les déclarer dans la conf apacha et ca roule.

Pour les connexions SSL j'utilise un certificat autosigné et je me contente de passer outre le warning du navigateur.

[oryx86]

Là ca dépasse mes compétences: je ne sais même pas ce qu'est un "certificat startssl".

Les sous-domaines je me contente de les déclarer dans la conf apacha et ca roule.

Pour les connexions SSL j'utilise un certificat autosigné et je me contente de passer outre le warning du navigateur.

C'est un certificat non autosigné et gratuit : https://www.startssl.com/?lang=fr

Un class 1, valable pour un sous-domaine.

Pratique pour ne plus avoir le warning (par exemple si tu héberges un site ou donnes l'accès à des novices qui seraient effrayés par le message)

[KZL]

En effet si ton certificat est un certificat startssl, tu risques d'avoir un pb! Personnellement j'ai laissé :5001, car j'y ai passé quelques heures déjà. Mais je suis preneur si vous avez une autre résolution!!

L'autre solution que j'ai essayé à urait été de faire pointer tondomain.com/dsm sur le port 5001, mais je n'ai jamais réussi non plus.. Car l'interface du dsm appelait des liens absolus entre autre

.. Mais qu'est ce que j'ai fait de ma vie :'-( lol

[KZL]

Faut commencer par supprimer les lignes "SSLCipherSuite", on en a parlé il y a déja longtemps dans un autre fil

Faut que je pense à modifier le tuto sur ce point.

Et sinon pour ton probleme je ne vois pas pourquoi ça ne marcherait pas.

Pas besoin de faire un "sous-sous" domaine

suffit d'utiliser pour l'interface d'admin un sous-domaine différent.

Si je supprime la ligne SSLCipherSuite, alors j'ai une erreur du type

Syntax error on line 23 of /volume1/@apache/vhosts.conf:
Invalid command 'SSLProtocol', perhaps misspelled or defined by a module not included in the server configuration

[CoolRaoul]

Si je supprime la ligne SSLCipherSuite, alors j'ai une erreur du type

Syntax error on line 23 of /volume1/@apache/vhosts.conf:
Invalid command 'SSLProtocol', perhaps misspelled or defined by a module not included in the server configuration

Voila qui est étrange et inexplicable (pour moi).

[aureliensm]

Bonjour,

Chez moi le reverse proxy ne fonctionne plus

J'ai essayé plusieurs choses :

1. J'ai remis le include dans le fichier de conf d'apache (au nouvel emplacement) puis restarter apache => Ca me met page web inaccessible
2. J'ai mis le include dans le httpd-ssl-vhost.conf-user (car reverse proxy ssl) => Page inaccessible

Une idée ?

Merci

[CoolRaoul]

Chez moi le reverse proxy ne fonctionne plus

J'ai essayé plusieurs choses :

J'ai remis le include dans le fichier de conf d'apache (au nouvel emplacement) puis restarter apache => Ca me met page web inaccessible

Vu qu'un certains nombre de retours (et ma propre expérience) indiquent que ça fonctionne en DSM5 tu as du sauter une étape ou faire une erreur quelque part.

Je ne peux que t'engager à reprendre le tuto pas à pas depuis le début.

J'ai mis le include dans le httpd-ssl-vhost.conf-user (car reverse proxy ssl) => Page inaccessible

Ce n'est pas nécessaire (et même pas sur que ça fonctionne comme ça)

Fais *exactement* ce qui est décrit dans le tuto et les connexion SSL seront aussi "proxifiables"

[Petit_bill]

Hello tous

Je suis passé ce matin en Version Final DSM 5.0

dans le mile mon reverse proxy ne fonctionnais plus....

sans rien changer de ma config 4.3 ( donc juste apres le passage a DSM 5.0 ) j'avais ce phenomene...

quand je voulais contacté l'url suivante https://nas.domaine.com au bout de quelque seconde j'etait redirigé vers http://nas.domaine.com:5000

Donc page inaccessible....

ok j'avoue j'utilisais encore une ancienne methode qui fonctionnait a merveille jusqu’à la 5.0

( methode : http://syno.haeflinger.com/index.php/Acceder_%C3%A0_un_port_grace_au_reverse_proxy )

Et j’utilisait encore le fichier : /usr/syno/apache/conf/httpd.conf-user

Mais apres quelque minutes de lecture ( 1ere page + 6 et 7 eme page de ce post ) je m'en suis sortie.

Voici comment j'ai fait :

1 - copie du contenu de mon fichier : /usr/syno/apache/conf/httpd.conf-user dans : /volume1/sauvegarde/config_nas/virtualhost.conf

#!/bin/sh
#  
#Restart SERVICE APACHE
#/usr/syno/sbin/synoservicecfg --restart httpd-user

# POUR ACTIVER LE REVERSE PROXY
<IfModule !proxy_module>
LoadModule proxy_module modules/mod_proxy.so
</IfModule>

<IfModule !proxy_connect_module>
LoadModule proxy_connect_module modules/mod_proxy_connect.so
</IfModule>

<IfModule !proxy_http_module>
LoadModule proxy_http_module modules/mod_proxy_http.so
</IfModule>

<IfModule !proxy_ftp_module>
LoadModule proxy_ftp_module modules/mod_proxy_ftp.so
</IfModule>


NameVirtualHost *:443

# RACINE WEB
<VirtualHost *:443>
  ServerName toto.dyndns.org
  SSLCipherSuite HIGH:MEDIUM
  SSLProtocol all -SSLv2
  SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
  SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
  SSLEngine on
  SSLProxyEngine on
  ProxyRequests Off
  ProxyVia Off
  DocumentRoot /volume1/web
</VirtualHost>

 
# SYNOLOGY
<VirtualHost *:443>
  ServerName nas.toto.dyndns.org
  SSLCipherSuite HIGH:MEDIUM
  SSLProtocol all -SSLv2
  SSLCertificateFile /usr/syno/etc/ssl/ssl.crt/server.crt
  SSLCertificateKeyFile /usr/syno/etc/ssl/ssl.key/server.key
  SSLEngine on
  SSLProxyEngine on
  
  ProxyPass / http://localhost:5000/
  ProxyPassReverse / http://localhost:5000/
</VirtualHost>

2 - j'ai fait un "CHMOD 777" et "CHOWN root:root" sur mon nouveau fichier

3 - ajouter la ligne : Include /volume1/sauvegarde/config_nas/virtualhost.conf en dessous de la ligne : Include conf/extra/httpd-reqtimeout.conf

dans le fichier : /etc/httpd/conf/httpd.conf-user

4 - restart apache avec cette commande : /usr/syno/sbin/synoservicecfg --restart httpd-user

Et voila tout refonctionne

Bonne journée

[CoolRaoul]

j'ai fait un "CHMOD 777" et "CHOWN root:root" sur mon nouveau fichier

Pourquoi, ça marchait pas sans ça?

Modifié le 19 mars 2014 par CoolRaoul

[Petit_bill]

Pourquoi, ça marchait pas sans ça?

hello

c'est une habitude que j'ai pris car dans ce répertoire il y a des .sh et il ne sont pas exécutable si je ne fais pas ça

mais peut etre que que sans ces commandes cela fonctionnais

j’essayerais demain

[CoolRaoul]

[CoolRaoul]

Mauvaise nouvelle: depuis DSM version 5.0-4493, la config décrite dans ce fil ne fonctionne plus pour les connexions HTTPS

Pour le moment je suis sec,

si quelqu'un à une idée..

[ioio79]

Bonjour,

je viens de trouver pour DSM 5. En fait rien de plus simple car tout est déjà semble t'il prévu

j'avais avant haproxy mais celui-ci plante depuis sa MAJ :-(

je suis donc revenu a ce post que j'avais déjà parcouru et qui m'avait aidé au debut lorsque je venais de recevoir mon synon (a noel ;-))

je vous fait partager a mon tour mon analyse après avoir lu plein de post et apres avoir "galéré" pour remettre le reverse proxy en https

tres rapidement

le SEUL fichier a modifier est httpd-ssl-vhost.conf-user situé dans /etc/httpd/sites-enabled-user/

il faut inscrire dedans les sites virtuels que vous souhaitez comme avant mais avec moins de paramètres car deja inscrit dans le fichier de configuration general

ex :

<VirtualHost *:443>

Servername fichiers.titi.fr

SSLEngine on

SSLProxyEngine on

ProxyPass / https://localhost:7001/

ProxyPassReverse / https://localhost:7001/

</Virtualhost>

il se peut même que certaines valeurs ci dessus ne soient pas non plus nécessaires mais cela fonctionne tres bien ainsi

Enfin pour une redirection vers un autre serveur on utilisera le nom du serveur distant a la place du localhost.

Bon courage

Modifié le 6 juin 2014 par ioio79

[CoolRaoul]

le SEUL fichier a modifier est httpd-ssl-vhost.conf-user situé dans /etc/httpd

J'ai trouvé ce fichier dans un sous dossier: "/etc/httpd/sites-enabled-user/", j'imagine que c'est bien celui-la?

il faut inscrire dedans les sites virtuels que vous souhaitez comme avant mais avec moins de paramètres car deja inscrit dans le fichier de configuration general

ex :

<VirtualHost *:443>

Servername fichiers.titi.fr

SSLEngine on

SSLProxyEngine on

ProxyPass / https://localhost:7001/

ProxyPassReverse / https://localhost:7001/

</Virtualhost>

il se peut même que certaine valeur ci dessous ne soit pas non plus nécessaires mais cela fonctionne tres bien ainsi

Enfin pour une redirection vers un autre serveur on utilisera le nom du serveur distant a la place du localhost.

Bon courage

Je m'en vais tester tout ça..

[ioio79]

c'est ca !

désolé de l'erreur j'ai corrige mon post

[CoolRaoul]

Effectivement ca marche:

j'ai réparti mes conf ssl et non ssl dans deux répertoires: "/usr/local/etc/httpd/conf-ssl.d" et "/usr/local/etc/httpd/conf.d"

ajouté la ligne :

include /usr/local/etc/httpd/conf-ssl.d/*.conf

dans "/etc/httpd/sites-enabled-user/httpd-ssl-vhost.conf-user". Et ça fonctionne.

Je vais nettoyer les lignes inutiles de la conf tant que j'y suis alors.

Mais faut que je creuse tout ça pour comprendre ce qui a changé

Merci du tuyau

[CoolRaoul]

Un truc a savoir: "httpd-ssl-vhost.conf-user" est *écrasé* des qu'on modifie/ajoute/supprime une déclarations d’Hôte Virtuel dans le panneau de conf DSM (et même si ce n'est pas un virtualhost SSL)

C'est un comportement de ce genre qui m'avait fait chercher une alternative et finalement trouver "/etc/httpd/conf/httpd.conf-user"

En remettant ma config initiale, mes déclarations de vhosts apparaissent pourtant bien avec la commande:

httpd -DSSL -DSPDY -DHAVE_PHP -t -D DUMP_VHOSTS

Je ne comprend pas ce qui coince avec mon approche.

[CoolRaoul]

Trouvé une approche qui permet de n'avoir à modifier uniquement "httpd.conf-user"

Il suffit de mettre la ligne "include" qui pointe sur les fichiers de conf perso non pas à la fin de ce dernier mais juste avant le bloc :

<IfDefine SSL>
..
</IfDefine>

(par contre je ne saurais pas expliquer pourquoi ça marche seulement ainsi)

Modifié le 6 juin 2014 par CoolRaoul

[ioio79]

peut-être que les reponses se trouvent dans le https.conf du rep etc/httpd/conf et dans etc/httpd/conf/extra