Haproxy-B

[pews]

Arfff, j'avais oublié d'ouvrir le port 5443 sur le firewall du NAS .

Ca marche en http et en https ! Mais je ne sais pas comment.

J'ai déclaré dans le backends les ports pour du http (5000 pour admin, 8800 pour audio...) . Et dans association, j'ai créé une ligne pour du http et une pour du https. Et ca fonctionne alors que je n'ai déclaré aucun port pour le https...

Mystère...

[Diaoul]

La config par défaut de HAProxy définit deux frontends par défaut. HTTP sur 5080 et HTTPS sur 5433 donc c'est normal que tu n'ai rien déclaré pour le HTTPS.

[pews]

Pour le frontends, d'accord avec toi mais pour le backends : port 5001, 8801.... ?

[Shiraz Adama]

Bonsoir,

Vu que je suis novice et un peu perdu, mais j'ai installer HAproxy sur mon DS214play. Le problème c'est que je n'arrive pas à accéder par ex: dam.domaine.com.

Les ports 443 et sont bien redirigé 5043 et 5080 mais je tombe systématiquement sur la page d'identification de ma FBX alors que j'ai bien décocher la case 'l'accès à distant)

Sachant que je n'ai toujours pas toucher a AHproxy, je voudrais savoir quel est la bonne manip à réaliser pour tout simplement accéder au différents ports pour les service du DS214play.

en tapant toutes les entrée (dam, audio...) il me met systématiquement sur la page d'authentification de la FBX à part le FTP qui fonctionne nickel.

Je n'ai rien toucher sur HAproxy et j'aimerai bien accéder à mes application la ou je je voudrais.

Merci

Modifié le 15 janvier 2014 par Shiraz Adama

[tocks]

bonjour,

je rencontre un phénomène inexpliqué pour moi, des experts pourront certainement m'éclairer.

Je souhaite accéder à l'application photo station depuis haproxy.

J'ai donc créer un backend :

nom : www

Serveurs : www localhost: check

et dans association :

https, www, if { hdr_beg(Host) -i www.

SI je tape dans mon navigateur

https://www.moi.myds.me/photo

Cela marche.

Mais si je fait :

nom : toto

Serveurs : toto localhost: check

et dans association :

https, toto, if { hdr_beg(Host) -i toto.

et : https://toto.moi.myds.me/photo

Cela ne marche pas...

Je ne comprend vraiment pas pourquoi.

Quelqu'un peux t'il m'éclairer sur ce point ?

Merci

[Mykado]

Hello,

Depuis la dernière MAJ, plus de problème pour lancer HAProxy avec un PowerPC ! Merci beaucoup ;-)

@tocks : A priori tu ne peux pas rediriger deux sous-domaine sur le même port, en tout cas ce n'est pas fait pour ça.

[NOTHiNG_Fr]

Bon, si ça intéresse quelqu'un, après de longues heures de bataille avec HAProxy et la documentation... j'ai réussi a mettre PhotoStation derriere HAProxy avec un sous-domaine : pics.MONDOMAINE.FR

2 Petites précisions :

• Le apache de mon syno tourne sur le 10080 et non plus sur le .
• HAproxy tourne sur le / 443

Si vous avez gardé les ports standards, il suffit de remplacer normalement...

J'ai configurer HAproxy comme cela :

Frontends :

Nom : HTTPS

Binds : :443 ssl crt /usr/local/haproxy/var/crt/default.pem

Backend par défaut : web

Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg /photo/, redirect prefix https://pics.MONDOMAINE.FR/photo code 301 if { hdr(Host) -i pics.MONDOMAINE.FR } !photo_path

Nom : HTTP

Binds : :

Backend par défaut : web

Options : redirect scheme https unless { hdr(Host) -i www.MONDOMAINE.FR }

Backends :

Nom : photostation

Serveurs : photostation localhost:10080 check

Options:

Associations :

Frontend: HTTPS

Backend: Photostation

Condition: if { hdr(Host) -i pics.MONDOMAINE.FR }

Voila, j'espère que ça interressera quelqu'un après m'etre cassé la tete pour finalement pas grand chose

Modifié le 28 janvier 2014 par NOTHiNG_Fr

[via78]

salut a tous,

je viens de passer la derniere version et je fais un tour dans l'aide sur le nas et je me retrouve avec ca :

{
   "errno" : {
      "key" : "error_system",
      "section" : "common"
   },
   "items" : [],
   "success" : false,
   "total" : 0
}

je ne pense pas que ce soit normal !!

s'il y a un fichier a retouche, donner moi les lignes que je corrige sur mon nas( si je suis le seul dans ce cas bien sur )

mais c'est pas grave en sois.

ou trouvez vous la doc en francais.

les fichiers que j'ai trouvé ne sont pas tres explicit ou je ne sais pas les exploiter.

merci d'avance

Via

[via78]

bonjour a tous,

un grand merci à NOTHiNG_Fr pour ca conf.

donc voici ce qui fonctionne chez moi

je me permet de mettre ma conf parce que je suis dans la conf "standard" de haproxy

donc

port vers le 5080

port 443 vers le 5443

Frontends :

Nom : HTTPS
Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem
Backend par défaut : web
Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl photo_path path_beg /photo, redirect prefix https://photo.monsite.fr/photo code 301 if { hdr(Host) -i photo.monsite.fr } !photo_path

Nom : HTTP
Binds : :5080
Backend par défaut : web
Options : option http-server-close,option forwardfor

Backends :
Nom : photo
Serveurs : photo localhost: check
Options:

Associations :
Frontend: HTTPS
Backend: photo
Condition: if { hdr(Host) -i photo. }

et ca fonctionne parfaitement aussi avec mon dsphoto

adresse : photo.monsite.fr

login

mot de passe

https

donc si j'ai un application de mon nas qui fonctionne en local avec un adresse de type http://localhost/application

j'ajoute une acl a mon frontend de ce type : (il faut une virgule pour separer les acl !!)

acl application_path path_beg /application, redirect prefix https://application.monsite.fr/application code 301 if { hdr(Host) -i application.monsite.fr } !application_path

et je crée le Backends et l'Association correspondante

donc je me connecte depuis l'exterieur avec https://application.monsite.fr/ qui est redirigé automatiquement sur https://application.monsite.fr/application

comme ca je reste sur le meme convesion de nomage sur mon NAS pour toutes mes application!

j'espere que ca servira a quelque et que je n'ai pas pollué le poste

Via

Modifié le 3 février 2014 par via78

[flipper]

Bonsoir Haproxy n est plus disponible pour mon DS213+ est ce normal?

[tocks]

merci via78, cela fonctionne parfaitement.

Je souhaiterais aussi ajouter plex. Quel ACL mettre en place ?

Merci

[via78]

je ne connais plex,

c'est quoi comme application et le lien

via

[tocks]

le lien pour y accéder est http://192.168.0.1:32400/web/index.html

je pense donc mettre :

Options : option http-server-close,option forwardfor,rspirep ^Location: http://(.*)$ Location: https://1, acl plex_path path_beg /plex, redirect prefix https://plex.monsite.fr/web code 301 if { hdr(Host) -i plex.monsite.fr } !plex_path

Mais comment indiquer le port et pouvoir l'ajouter à l'acl photo

merci

[via78]

le port se règle dans le backends

Backends :
Nom : plex
Serveurs : plex localhost:32400 check
Options:

mais ton acl va te renvoyer vers https://plex.monsite.fr/plex parce que ton path_plex c'est /plex si j'ai bien compris.

j'ai le meme type de problème comme je l'indique ici :

via

Modifié le 19 février 2014 par via78

[MEAT]

Suite à mon message

Pour une gestion des .htaccess d'Apache par HAProxy, voici une solution compatible avec le paquet HAProxy pour Synology.

1. Modification du template : /usr/local/haproxy/var/haproxy.cfg.tpl

Ajoutez à la fin :

userlist my_users
        user utilisateur insecure-password motdepasse

Remplacez "utilisateur" et "motdepasse" par votre login et votre mot de passe. Vous pouvez ajouter autant de ligne "user" que nécessaire.

2. Dans l'interface HAProxy, définissez votre frontend ainsi :

Nom : https
Binds : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem
Backend par défaut : web
Options : option http-server-close,option forwardfor,acl auth_access http_auth(my_users),http-request auth realm Authentification if !auth_access,rspirep ^Location: http://(.*)$    Location: https://1

En espérant que cela vous soit aussi utile qu'à moi pour protéger certains services de votre NAS :-)

Modifié le 20 septembre 2014 par MEAT

[via78]

merci MEAT mais quand tu fais ce changement c'est une authentification pour toutes les connexions au NAS.

alors que l'ACL peux être mise seulement sur le backend

donc ça donne ça :

1. Modification du template : /usr/local/haproxy/var/haproxy.cfg.tpl

Ajoutez à la fin :

userlist my_users
        user utilisateur insecure-password motdepasse

Remplacez "utilisateur" et "motdepasse" par votre login et votre mot de passe. Vous pouvez ajouter autant de ligne "user" que nécessaire.

2. Dans l'interface HAProxy, définissez votre backend de gateone ainsi :

nom : gateone
Serveurs: gateone localhost:8271 check ssl
Option: acl auth_access http_auth(my_users), http-request auth realm Authentification if !auth_access

et faire de même pour les backends dont vous voulez une authentification

merci a toi MEAT pour cette ACL

Via

[CHILLY996]

Bonjour,

OK tout est paramétré dans HAProxy et tout fonctionne correctement.

En revanche, quand on souhaite se connecter via android et les application DS***, vu que je ne possède que le certificat standard synology, je ne peux pas me connecter en https ...

Y a-t-il un moyen de contournement (je précise que la vérification du certificat n'est pas cochée dans l'appli).

Pour préciser, je redirige le port externe 443 sur le 5433 dans mon routeur et dans HAProxy les associations sont faites seulement en https.

Merci d'avance.

[Vierxa]

Pourquoi ne mets tu pas en place des certificats gratuits de type startssl?

Un certificat par sous domaine, tous stockés un même dossier et tu configure Haproxy pour aller chercher les certificats dans ce dossier.

[CHILLY996]

Je vais regarder startssl ... Merci

EDIT :

J'ai regardé hier soir, et je pense qu'il faut acheter un certificat par sous domaine pour le gratuit, sinon un certificat avec Wildcard c'est 60 euro de mémoire ...

Etant donné qu'il y aura 7 ou 8 certificats, comment se passe la config de HAProxy ?

Dans la modification des frontends je vois ceci : :5443 ssl crt /usr/local/haproxy/var/crt/default.pem

Il va falloir tous les lister si c'est possible avec un séparateur (lequel au passage) ?

Je pense que je vais aussi prendre un nom de domaine chez OVH en passant et profiter de la promo d'aujourd'hui.

Merci d'éclairer un débutant total.

Modifié le 2 octobre 2014 par CHILLY996

[Vierxa]

Alors oui il te faut 7 ou 8 certificats : 1 par sous domaine mais comme ils sont gratuits...

Pour la config HAPrioxy, tu as deux solutions.

- Soit tu déclares tous tes certificats comme ceci :

:5443 ssl crt /usr/local/haproxy/var/crt/certificat_1.pem crt /usr/local/haproxy/var/crt/certificat_2.pem crt /usr/local/haproxy/var/crt/certificat_3.pem et ainsi de suite

- Soit tu déclares le dossier où se trouve tes certificats de cette façon :

:5443 ssl crt /usr/local/haproxy/var/crt/

Pour le wildcard, en effet c'est 60$ mais tu profiteras d'un certificat de classe supérieure donc mieux reconnu par les différents navigateurs.

Pour le nom de domaine, oui c'est quand même plus propre d'avoir le sien et le prix reste raisonnable même pour un .fr

N'hésite pas si tu as des questions dans la config HAProxy.

Modifié le 2 octobre 2014 par Vierxa

[CHILLY996]

Merci beaucoup c'est plus clair. Je débute avec ce NAS et je suis assez noob avec les certif SSL et les nom de domaine.

Pour ceux qui ont réussi à rediriger le photo.XXXXXX vers un deuxième port par exemple le 8080, celà fonctionne-t-il ?

J'ai l'impression que HAProxy ne tient pas compte du port et passe par le port quoi qu'il arrive.

Je précise que je n'ai pas de serveur web sur mon NAS, donc je n'ai mis aucun backend par défaut dans les 2 frontend. De plus j'ai supprimé le backend web.

Auparavant avec le backend web présent et le backend web par défaut dans les frontend la redirection photo.XXXXX fonctionnait.

C'est juste pour comprendre ...

Le but c'est que si quelqu'un tape juste mon nom de domaine, il ne tombe sur rien ...

[Vierxa]

Pourquoi veux-tu rediriger photostation vers un autre port?

Aujourd'hui, voici ma config actuelle pour HAproxy.

elle te permet d'acceder a photostation sous la forme :

- photo.mondomaine.XXX

ou

- mondomaine.XXX/photo

A savoir, je n'ai ouvert que le port 443 de mon routeur qui redirige vers le port 5443 du synology (frontend https), je n'utilise pas de frontend http...

frontend https

bind :5443 ssl crt /etc/haproxy/crt/

option forwardfor

rspirep ^Location: http://(.*)$ Location: https://1

acl photo_path path_beg /photo/

redirect prefix https://photo.mondomaine.XXX/photo code 301 if { hdr(Host) -i photo.mondomaine.XXX } !photo_path

use_backend PhotoStation if { path_beg /photo }

use_backend PhotoStation if { hdr(Host) -i photo.mondomaine.XXX }

backend PhotoStation

server Syno_Port: 192.168.1.10: check

[CHILLY996]

En fait c'était par curiosité, je voulais essayer de comprendre ... bon après l'intérêt dans mon cas est inexistant.

Dans un premier temps, je vais me prendre un vrai nom de domaine plutôt qu'un DDNS et je vais prendre les certificats chez startSSL.

Je vais suivre ton conseil ci-dessus.

Merci beaucoup.

[CHILLY996]

@Vierxa :

Merci pour tes infos, tout fonctionne correctement avec les différents certificats.

Le seul soucis reste DSCam mais il faut que je fasse d'autres essais. Je pense que c'est à cause du https ...

[Vierxa]

@Vierxa :

Merci pour tes infos, tout fonctionne correctement avec les différents certificats.

Le seul soucis reste DSCam mais il faut que je fasse d'autres essais. Je pense que c'est à cause du https ...

Super.

Pour DS Cam, je ne peux pas trop t'aider car je ne l'utilise pas; enfin pas encore. Mais je compte mettre en place une ou deux cameras d'ici peu.

Si tu arrives à solutionner ton problème, n'oublie pas de partager.