Aller au contenu

Tuto Haproxy Et Regroupement Des Param


via78

Messages recommandés

C'est ce que j'ai essayé de faire mais impossible de récupérer cette version sur le site Synocommunity, il m'indique emplacement inconnu..

Il semble que le site soit en maintenance .. :blink:

P.S : J'ai enfin réussi à installer HAProxy en ré-installant Python à partir des sources fournies par @jakeRTFM via sa Dropbox, merci à lui .. :P

Je vais pouvoir me plonger à fond dans le tuto ..

Modifié par loupou
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
  • Réponses 65
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Images postées

Salut a tous,

Suite à la dernière update DSM qui à cassé le reverse proxy en mode https je tente l'option haproxy.

J'ai tout bien configuré, effectué les redirections dans ma freebox et redémarré cette dernière.

Tous fonctionne au poil en local (donc en utilisant la fonction loopback de la freebox), https://dsm.monsite.com me redirige bien sur la page de login DSM

Par contre, un test non local (mon smartphone en connexion data) avec la meme url n'aboutit pas (timeout)

Une rapide analyse du traffic via tcpdump sur le port 5080 me montre bien les paquets entrants mais aucune réponse!

Meme punition en SSL

Voila ou j'en suis...

**EDIT**

Bon j'ai trouvé (mais quel boulet.. -_- )

J'avais oublié d'ouvrir les ports 5080 et 5443 dans le firewall du syno (et le fait que tcpdump voie quand même les paquets entrants m'avait empéché de penser tout de suite à cette explication)

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Merci pour toutes ces infos j adore.

2 questions:

1 - avez vous réussi à utiliser ds cam de l extérieur ? Chez moi ça marche bien de l intérieur avec video.monsite mais de l extérieures j arrive sur la page d authentification et après ça boucle. ça marche pas ni avec ds cam ni avec le http (le site boucle)

2 - j aimerai mettre en place un certificat côté client, avez vous déjà fait et qu avez vous modifie à la conf. haproxy du coup ?

Merci d avanve

Modifié par oakley
Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

côté Freebox, voici mes paramètres

https://drive.google.com/file/d/0BwnKsb2Xv-8ubHFIZ2REY2wwZUE/edit?usp=sharing

et du coup, quand je rentre, depuis mon téléphone en 3G

http://blablabla.quickconnect.to, j'arrive sur https://blablabla.uk.quickconnect.to, le dsm de mon syno mais par contre, quand je rentre

http://dsm.blablabla.quickconnect.to, j'arrive sur https://docs.google.com/file/d/0BwnKsb2Xv-8uRXVtRjNBZjFvU1E/edit?usp=drivesdk

Modifié par akhlan
Lien vers le commentaire
Partager sur d’autres sites

je ne connais pas quickonnect.to mais le peux que j'en ai lu ne devrais pas permettre de faire la redirection que tu veux.

1) sur ta box, tu n'as que ces deux port d'ouvert vers le syno ?

2) comment ce fait il que http://blablabla.quickconnect.to,se transforme en https://blablabla.uk.quickconnect.to, plus exactement il vient d ou ce UK en plein milieu ??

utilise le ddns de syno et ça fonctionne directement !!!

via

Lien vers le commentaire
Partager sur d’autres sites

  • 6 mois après...

Bonjour,

J'essaye de rediriger toutes mes requetes vers le https exceptés les sites web.

Comme mentionné dans le post, j'utilise la directive:

redirect scheme https unless { hdr_beg(Host) -i web. video. }

et l'association correspondante.

La video est bien redirigée vers du http (http://video.mondomaine.ltd), par contre, tous mes sites web sont redirigés vers du https.

Une idée du pourquoi de la chose ?

Merci d'avance.

Georges

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Hello et merci Via78,

J'ai suivi ton tuto très clair pour la conf de mon syno et je peux rentrer sur mes application via le port 443 avec redirection auto (via HaProxy) quand on entre sur le 80. Il me reste cependant mes applications web (Owncloud et TTRSS) ainsi que Plex à rediriger correctement avec des urls appropriées mais là je bloque un peu.

Les applications web sont évidemment dans le dossier /web/nomapp, mais je n'arrive pas à faire de redirection pour celles ci via HaProxy, quelqu'un l'a déjà fait ou pourrait me conseiller ?

Pareil pour Plex, qui est accessible à addressesyno:32400/web. Du coup si j'accède à plex.domaine.com/web ça fonctionne, mais pas simplement sur plex.domaine.com.

Si quelqu'un a un conseil, je suis preneur.

Modifié par nougalo
Lien vers le commentaire
Partager sur d’autres sites

  • 5 semaines après...

Bonjour,

Je dispose d'un routeur sur lequel est installé DD-WRT et je m'y perds un peu avec les notions de "Port Forwarding", "Port Range Forwarding" et "Port Triggering"

Que dois-je obligatoirement configurer dans ces 3 onglets de DD-WRT pour mettre en œuvre HAPROXY; sachant que l'ip de mon NAS est 192.168.0.2 ?

Merci

 

Modifié par philou42
Lien vers le commentaire
Partager sur d’autres sites

  • 4 mois après...

Hello,

super tuto mais chez moi rien ne fonctionne, pourtant je l'ai bien suivi.

Quand je tapote http://dsfile.mondomaine.com j'ai une page blanche et en https j'ai une erreur 503. et pour toute les applis c'est pareil. :-(

Si on pouvait m'aider svp,

Je vais continuer de chercher

Merci

 

edit : Bien https://dsm.mondomaine.com fonctionne  mais il est bien seul au monde lol

Modifié par Webman
Lien vers le commentaire
Partager sur d’autres sites

il y a 16 minutes, Webman a déclaré:

Pour info égalerment l'option pour éviter que la redirection "web" se fasse en https ne fonctionne pas même après l'association web. j'ai toujours cette redirection en https pour mes sites webs...


redirect scheme https unless { hdr_beg(Host) -i web. }

l'url commence par web pour te connecté ? 

Lien vers le commentaire
Partager sur d’autres sites

il y a 42 minutes, gaetan.cambier a déclaré:

l'url commence par web pour te connecté ? 

Effectivement merci Gaetan tu viens de m'éclairer lol.

Par contre pour les différentes applis Audiostation, vidéostation, downloadstation, filestation, photostation, notestation toujours une erreur 503.

As tu une idée pour mon problème ?

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 33 minutes, gaetan.cambier a déclaré:

 

Va falloir poster la config si tu veux une réponse, à la limite, le fichier de configuration brut de haproxy plutôt que des print Screen pas pratique ;)

Voici ma config :

frontend http
    bind :5080
    redirect scheme https unless { hdr_beg(Host) -i test.  }
    use_backend web if { hdr_beg(Host) -i test. }
    default_backend web

frontend https
    bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3
    option http-server-close
    option forwardfor
    rspirep ^Location:\ http://(.*)$    Location:\ https://\1
    rspadd Strict-Transport-Security:\ max-age=31536000;\ includeSubDomains
    use_backend dsm if { hdr_beg(Host) -i dsm. }
    use_backend sabnzbd if { hdr_beg(Host) -i sabnzbd. }
    use_backend nzbget if { hdr_beg(Host) -i nzbget. }
    use_backend sickbeard if { hdr_beg(Host) -i sickbeard. }
    use_backend audio if { hdr_beg(Host) -i dsaudio. }
    use_backend dsdownload if { hdr_beg(Host) -i dsdownload. }
    use_backend surveillance if { hdr_beg(Host) -i surveillance. }
    use_backend dsvideo if { hdr_beg(Host) -i dsvideo. }
    use_backend dsfile if { hdr_beg(Host) -i dsfile. }
    use_backend dsphoto if { hdr_beg(Host) -i dsphoto. }
    default_backend web

backend web
    server web localhost:80 check

backend dsm
    server dsm localhost:127 check

backend sabnzbd
    server sabnzbd localhost:8080 check

backend nzbget
    server nzbget localhost:6789 check

backend sickbeard
    server sickbeard localhost:8081 check

backend audio
    server dsaudio localhost:8800 check

backend dsdownload
    server dsdownload localhost:8000 check

backend surveillance
    server surveillance localhost:9900 check

backend dsvideo
    server dsvideo localhost:9007 check

backend dsfile
    server dsfile localhost:5005 check

backend dsphoto
    server dsphoto localhost:80 check

 

Merci de votre aide

Lien vers le commentaire
Partager sur d’autres sites

bon, je le fais dans l'ordre :

deja une chose me fait bondir : la securité :

RC4 est cassé depuis plusieur mois !

--> faut plus l'utilisé 

et sur la meme ligne, utilisé l'http 1.1, ca serait p-e bien à l'heure ou on commence à utiliser l'HTTP 2.0 et QUIC

ce qui donne (si tu veux garder la compatibilité à partir de win xp + ie8):

bind :5443 npn http/1.1 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+3DES+SHA:!RSA+AES:!CAMELLIA:!aECDH:!RC4:!DSS:!PSK:!SRP:!aNULL no-sslv3

si tu pense comme moi que ce système n'a plus aucun interet à se connecter à ton serveur :

bind :5443 npn http/1.1 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:!RSA+AES:!CAMELLIA:!aECDH:!RC4:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3

 

server dsm localhost:127 check

c'est pas conseille d'utiliser un port réservé mais bon, à la limite ....

 

pour le reste, rien ne semble mauvais, mais tu as bien activé les port personnalisé dans le portail des apllications ? 

pour les modif, faut absolument le faire via l'interface haproxy, il ecrit dans une db pour recharger dans l'interface ;)

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 48 minutes, gaetan.cambier a déclaré:

bon, je le fais dans l'ordre :

deja une chose me fait bondir : la securité :

RC4 est cassé depuis plusieur mois !

--> faut plus l'utilisé 

et sur la meme ligne, utilisé l'http 1.1, ca serait p-e bien à l'heure ou on commence à utiliser l'HTTP 2.0 et QUIC

ce qui donne (si tu veux garder la compatibilité à partir de win xp + ie8):


bind :5443 npn http/1.1 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+3DES+SHA:!RSA+AES:!CAMELLIA:!aECDH:!RC4:!DSS:!PSK:!SRP:!aNULL no-sslv3

si tu pense comme moi que ce système n'a plus aucun interet à se connecter à ton serveur :


bind :5443 npn http/1.1 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:!RSA+AES:!CAMELLIA:!aECDH:!RC4:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3

 


server dsm localhost:127 check

c'est pas conseille d'utiliser un port réservé mais bon, à la limite ....

 

pour le reste, rien ne semble mauvais, mais tu as bien activé les port personnalisé dans le portail des apllications ? 

pour les modif, faut absolument le faire via l'interface haproxy, il ecrit dans une db pour recharger dans l'interface ;)

 

Alors encore grâce à toi ça fonctionne. Merci

Pour revenir a la question sécurité : Haproxy est en version 1.5.14-19 par SynoCommunity alors je pense avoir la dernière maj vu qu'il ne propose pas d'update à ce jour. Il faut vraiment qu'il mettre à jour sur la sécurité. J'ai mis a jour ta formule sur le frontend https.

Concernant le port 127, il y a quelques années il n'était pas reservé. Je vais modifier ceci. Mais bon c'est pas le plus important !

Dans tous les cas Merci tu m'as beaucoup aider et je pense que les autres aussi en lisant ce post.

@+

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.