Configurer La Web Station En Http Et L'administration En Https

[Alastor 2262]

Si comme moi le proxy de votre employeur ne laisse passer que le HTTP sur le port 8O et le HTTPS sur le port 443, voici un tuto qui vous permettra d'accèder aussi bien à la Web station qu'à l'interface d'administration depuis votre bureau

Principe

Le principe est de pouvoir accèder à la web station en HTTP sur le port 8O, et à l'interface d'administration en HTTPS sur le 443, tous deux sont des ports standardisés et la plupart des proxy les laisse passer !

Si la Web station utilise le 8O par défaut, l'interface d'administration utilise quand à elle le port 5000 (HTTP) ou 5001 (HTTPS) que les proxy n'aiment pas plus que cela, on va donc modifier le port utilisé en HTTPS.

Note :

- Sauvegardez les fichiers avant de les modifier.

- Les modifications seront perdues suite à un upgrade de firmware, il faudra recommencer.

- Tester exclusivement sur un DS106e en .598.

- J'ai choisi d'inverser les ports 5001 et 443, vous pouvez en choisir autre chose que le 5001.

- La Web Station sera tout de même accessible en HTTPS mais sur le nouveau port.

Actions :

1) Activation du HTTPS :

Par l'interface d'administration, activez la connexion HTTPS, dans "services réseau" -> "Services Web", ainsi bien sur que la Web Station.

A partir de la, la Web station est accessible en HTTP sur le port 8O ou en HTTPS sur le 443, l'interface d'admin elle, l'est sur le 5000 ou 5001

-- La suite est en telnet (ou SSH) en tant que root

2) Libération du port 443 de la web station

La Web station utilise le 443, il faut le libérer pour l'interface d'administration.

Editez le fichier "/usr/syno/apache/conf/extra/httpd-ssl.conf-user" et remplacez le "443" des lignes suivantes par "5001" :

		   #

		   # When we also provide SSL we have to listen to the

		   # standard HTTP port (see above) and to the HTTPS port

		   #

		   # Note: Configurations that use IPv6 but not IPv4-mapped addresses need two

		   #	   Listen directives: "Listen [::]:443" and "Listen 0.0.0.0:443"

		   #

		   Listen 443

Ainsi que dans la ligne

		 ##

		 ## SSL Virtual Host Context

		 ##


		 <VirtualHost *:443>

3) Affectation du port 443 à l'interface d'administration L'interface d'administration utilise le 5001, il faut la passer sur le 443. Editez le fichier "/usr/syno/apache/conf/extra/httpd-ssl.conf-sys" et remplacez le "5001" des lignes suivantes par "443" :

	   #

	   # When we also provide SSL we have to listen to the

	   # standard HTTP port (see above) and to the HTTPS port

	   #

	   # Note: Configurations that use IPv6 but not IPv4-mapped addresses need two

	   #	   Listen directives: "Listen [::]:443" and "Listen 0.0.0.0:443"

	   #

	   Listen 5001

Ainsi que dans la ligne

	   ##

	   ## SSL Virtual Host Context

	   ##


	   <VirtualHost *:5001>

4) Soyons cohérent On va faire suivre la configuration dans le fichier "/etc/synoinfo.conf", il faut donc l'éditer en remplacer la valeur 5001 par 443 dans la ligne suivante :

	   secure_admin_port="5001"

5) Redémarrons le tout

Deux méthodes, soit on redémarre tout par la commande "reboot", soit on redémarre que les apaches "système" et "user" par les commandes suivantes :

/usr/syno//usr/syno/etc.defaults/rc.d/S97apache-sys.sh restart

/usr/syno//usr/syno/etc.defaults/rc.d/S97apache-user.sh restart

6) Il n'y a plus qu'a tester en local ou depuis le boulot.

https://@syno : doit vous amener sur l'interface d'administration

http://@syno : doit vous amener sur la Web Station

PS : J'ai choisi d'avoir la Web Station en HTTP et l'administration en HTTPS, sachez qu'il est possible de faire l'inverse, il suffit de demander

[Vash]

Bonjour,

Je deterre un peu le topic, mais j'ai une question sur le meme type de probleme.

Dans ce tuto on garde le port (http) pour le service web (site)

On change le port de l'administration 5001 (https) en 443

On decalle donc le port 443 du service web en 5001

Donc le service web (https) reste accessible par le port 5001

D'ou ma question, peut-on tout betement desactiver l'acces au site web par un connection SSL ?

Merci

[PatrickH]

Bonjour,

Je deterre un peu le topic, mais j'ai une question sur le meme type de probleme.

Dans ce tuto on garde le port (http) pour le service web (site)

On change le port de l'administration 5001 (https) en 443

On decalle donc le port 443 du service web en 5001

Donc le service web (https) reste accessible par le port 5001

D'ou ma question, peut-on tout betement desactiver l'acces au site web par un connection SSL ?

Merci

Tu n'es pas obligé d'activer l'accès HTTPS (SSL) pour ton site WEB ! voir dans l'administration WEB

Patrick

[Vash]

Oui, je suis d'accord mais dans ce cas tu ne peut plus aller a la page d'aministration en SSL, mon but serait d'avoir l'administration en SSL et de n'avoir le site WEB qu'en http

[PatrickH]

Oui, je suis d'accord mais dans ce cas tu ne peut plus aller a la page d'aministration en SSL, mon but serait d'avoir l'administration en SSL et de n'avoir le site WEB qu'en http

Ah oui je vois, j'ai pas regardé de près mais cela devrait être possible en mettant la main dans le cambouis des fichiers apaches...mais attention c'est pas ce qu'il y de plus simple si on veux éviter de risquer de ne plus avoir accès à son interface d'admin...!!!

Patrick

[Vash]

Desactivation du port 443 de la web station

La Web station utilise le 443 en mode https.

Editez le fichier "/usr/syno/apache/conf/extra/httpd-ssl.conf-user"

#

# When we also provide SSL we have to listen to the

# standard HTTP port (see above) and to the HTTPS port

#

# Note: Configurations that use IPv6 but not IPv4-mapped addresses need two

# Listen directives: "Listen [::]:443" and "Listen 0.0.0.0:443"

#

#Listen 443

Commenter la ligne en rouge "Listen 443"

et redemarrer votre service web

/usr/syno/etc/rc.d/S97apache-user.sh restart en Telnet/SSH

[bilay]

Bonsoir,

Désolé de remonter ce sujet, je suis archi débutant en ssh (et unix/linux en général).

Je n'arrive pas à éditer les deux fichiers pour les modifier, lorsque je tape la commande "VI" suivi du nom du fichier je me retrouve avec une page de ~ et je ne peux plus rien faire... Même pas retourner à l'invite de commande...

En cherchant sur le web je trouve qu'il faut taper sur "esc" puis "q" pour quitter ou "wq" pour enregistrer et quitter et même ça ne marche pas, un message m'informe que la commande "q" ou "wq" is not implemented (dans le texte).

Comment faire ?

Encore désolé pour cette question qui paraitra simplissime à beaucoup...

[Alastor 2262]

Si tu as plein de tilde (~) c'est que tu t'es trompé sur le nom du fichier et que vi ouvre un fichier vide. Pour les commandes "q" "wq" il faut les précéder de ":"

voir > la < pour quelques commandes de vi.

A+

[bilay]

Si tu as plein de tilde (~) c'est que tu t'es trompé sur le nom du fichier et que vi ouvre un fichier vide. Pour les commandes "q" "wq" il faut les précéder de ":"

voir > la < pour quelques commandes de vi.

A+

Merci beaucoup !

[liveaid]

Bonjour,

merci pour ces informations, a titre personnel, je n'ai jamais mis en place du https sur ma machine.

Coté configuration des ports tes explications sont claires, par contre moi je suis sous windows xp, n'y a-til

pas au préalable une configuration a base de certificat a réaliser ? ou une conf système à modifier ?

je ne sais pas si assez précis ?

as-tu un avis sur le sujet ?

[Alastor 2262]

Bonjour,

merci pour ces informations, a titre personnel, je n'ai jamais mis en place du https sur ma machine.

Coté configuration des ports tes explications sont claires, par contre moi je suis sous windows xp, n'y a-til

pas au préalable une configuration a base de certificat a réaliser ? ou une conf système à modifier ?

je ne sais pas si assez précis ?

as-tu un avis sur le sujet ?

Je n'ai pas compris la question !

Il n'y a rien à faire sur Windows, que sur le Syno et sur ton routeur, le routeur pour faire suivre la redirection de port.

[OUARZA]

Bonjour,

moi je souhaite uniquement modifier le port d'accès à la configuration du NAS (port 5000). Je doit modifier tous les fichiers indiqué avec le port 5000?

Mathieu

[Alastor 2262]

Oui, les fichiers qui parlent du port 5000, mais si tu regarde, le 5000 c'est HTTP, dans mon tuto je remplace le 5001 qui est l'HTTPS. La gestion n'est pas dans les même fichiers et je n'ai pas mon syno sous la main pour te dire précisément lesquels !

Mais de tête ça doit être :

/usr/syno/apache/conf/httpd-ssl.conf-sys

à vérifier.

A+

[Seth57]

Bonjour a tous

superbes infos mais j'ai toutefois un probleme

les fichiers httpd-ssl.conf-user et sys sont verrouilles, pas moyen de les modifier

je les ai copie sur mon poste, modifies avec notepad++ mais impossible ensuite de les reinjecter dans le Syno

merci de votre aide

[Alastor 2262]

...

-- La suite est en telnet (ou SSH) en tant que root

...

même mot de passe qu'admin !

[Seth57]

un grand merci

j'essayerai a partir du boulot lundi

bon week end

[WahJam]

Si comme moi le proxy de votre employeur ne laisse passer que le HTTP sur le port 8O et le HTTPS sur le port 443, voici un tuto qui vous permettra d'accèder aussi bien à la Web station qu'à l'interface d'administration depuis votre bureau

Autre solution qui évite de bidouiller les fichiers du syno : dans la configuration du routeur, faire une redirection du port entrant 443 en TCP vers le port 5001 du syno

Ne marche évidemment qu'en se connectant à partir d'internet, pas à partir du réseau local.

Pascal

[Alastor 2262]

Pour ma part je préfère quand c'est droit, on s'y retrouve plus facilement. D'autre part, on est pas à l'abris d'hébergé une appli qui soit "fixée" au port du serveur et qui le communique aux clients.

[WahJam]

D'autre part, on est pas à l'abris d'hébergé une appli qui soit "fixée" au port du serveur et qui le communique aux clients.

Ma réponse ne s'applique bien sur qu'au sujet de la conversation : "Web Station En Http Et Administration En Https, Sur les ports standards pour passer les proxy", pour lequel on n'est pas dans ce cas de figure.

Pascal

[Benyo]

Si comme moi le proxy de votre employeur ne laisse passer que le HTTP sur le port 8O et le HTTPS sur le port 443, voici un tuto qui vous permettra d'accèder aussi bien à la Web station qu'à l'interface d'administration depuis votre bureau

Principe

Le principe est de pouvoir accèder à la web station en HTTP sur le port 8O, et à l'interface d'administration en HTTPS sur le 443, tous deux sont des ports standardisés et la plupart des proxy les laisse passer !

Si la Web station utilise le 8O par défaut, l'interface d'administration utilise quand à elle le port 5000 (HTTP) ou 5001 (HTTPS) que les proxy n'aiment pas plus que cela, on va donc modifier le port utilisé en HTTPS.

Note :

- Sauvegardez les fichiers avant de les modifier.

- Les modifications seront perdues suite à un upgrade de firmware, il faudra recommencer.

- Tester exclusivement sur un DS106e en .598.

- J'ai choisi d'inverser les ports 5001 et 443, vous pouvez en choisir autre chose que le 5001.

- La Web Station sera tout de même accessible en HTTPS mais sur le nouveau port.

Actions :

1) Activation du HTTPS :

Par l'interface d'administration, activez la connexion HTTPS, dans "services réseau" -> "Services Web", ainsi bien sur que la Web Station.

A partir de la, la Web station est accessible en HTTP sur le port 8O ou en HTTPS sur le 443, l'interface d'admin elle, l'est sur le 5000 ou 5001

-- La suite est en telnet (ou SSH) en tant que root

2) Libération du port 443 de la web station

La Web station utilise le 443, il faut le libérer pour l'interface d'administration.

Editez le fichier "/usr/syno/apache/conf/extra/httpd-ssl.conf-user" et remplacez le "443" des lignes suivantes par "5001" :

		   #

			# When we also provide SSL we have to listen to the

			# standard HTTP port (see above) and to the HTTPS port

			#

			# Note: Configurations that use IPv6 but not IPv4-mapped addresses need two

			#	   Listen directives: "Listen [::]:443" and "Listen 0.0.0.0:443"

			#

			Listen 443

Ainsi que dans la ligne

		 ##

		  ## SSL Virtual Host Context

		  ##


		  <VirtualHost *:443>

3) Affectation du port 443 à l'interface d'administration L'interface d'administration utilise le 5001, il faut la passer sur le 443. Editez le fichier "/usr/syno/apache/conf/extra/httpd-ssl.conf-sys" et remplacez le "5001" des lignes suivantes par "443" :

	   #

		# When we also provide SSL we have to listen to the

		# standard HTTP port (see above) and to the HTTPS port

		#

		# Note: Configurations that use IPv6 but not IPv4-mapped addresses need two

		#	   Listen directives: "Listen [::]:443" and "Listen 0.0.0.0:443"

		#

		Listen 5001

Ainsi que dans la ligne

	   ##

		## SSL Virtual Host Context

		##


		<VirtualHost *:5001>

4) Soyons cohérent On va faire suivre la configuration dans le fichier "/etc/synoinfo.conf", il faut donc l'éditer en remplacer la valeur 5001 par 443 dans la ligne suivante :

	   secure_admin_port="5001"

5) Redémarrons le tout

Deux méthodes, soit on redémarre tout par la commande "reboot", soit on redémarre que les apaches "système" et "user" par les commandes suivantes :

/usr/syno//usr/syno/etc.defaults/rc.d/S97apache-sys.sh restart

/usr/syno//usr/syno/etc.defaults/rc.d/S97apache-user.sh restart

6) Il n'y a plus qu'a tester en local ou depuis le boulot.

https://@syno : doit vous amener sur l'interface d'administration

http://@syno : doit vous amener sur la Web Station

PS : J'ai choisi d'avoir la Web Station en HTTP et l'administration en HTTPS, sachez qu'il est possible de faire l'inverse, il suffit de demander

Bonsoir,

Ayant réalisé déjà la manip sur un autre syno, j'y suis allé un peu trop confiant sur celui de mon frère et je me retrouve actuellement dans l'impossibilité d'accéder à l'interface.

j'ai essayé de remettre tout comme avant mais rien n'y fait je n'accède à rien du tout.

Quelqu'un connaitrais un moyen de revenir à 0, si quelqu'un pouvait m'envoyer les 3 fichiers et m'expliquer comment les copier via telnet ou une autre solution, je suis un peu perdu.

Merci par avance

[gollum]

Bonjour a tous

superbes infos mais j'ai toutefois un probleme

les fichiers httpd-ssl.conf-user et sys sont verrouilles, pas moyen de les modifier

je les ai copie sur mon poste, modifies avec notepad++ mais impossible ensuite de les reinjecter dans le Syno

merci de votre aide

Un paquet third-party Config File Editor (dans la langue de Shakespeare ...) permet d'avoir accès directement aux fichiers de configuration depuis l'interface d'administration. Le fichier de configuration de l'application elle même (les fichiers de configuration accessibles) est modifiable par l'application. De plus il est fait une sauvegarde de l'original.

Cela peut éviter toute les manipulations en ligne de commande pour ceux non habitués.

http://www.mertymade.../index.html#cfe

[gollum]

5) Redémarrons le tout

Deux méthodes, soit on redémarre tout par la commande "reboot", soit on redémarre que les apaches "système" et "user" par les commandes suivantes :

/usr/syno//usr/syno/etc.defaults/rc.d/S97apache-sys.sh restart

/usr/syno//usr/syno/etc.defaults/rc.d/S97apache-user.sh restart

Ne serait-ce pas plutôt ?

/usr/syno/etc.defaults/rc.d/S97apache-sys.sh restart

/usr/syno/etc.defaults/rc.d/S97apache-user.sh restart

En tout état de cause j'ai quand même un message d'erreur à la seconde ligne :

Start User Apache Server .....

(98)Address already in use: make_sock: could not bind to address 0.0.0.0:5001

no listening sockets available, shutting down

Unable to open logs

/usr/syno/etc.defaults/rc.d/S97apache-user.sh: user httpd could not be started

[MS_Totor]

salut pourquoi aller piocher dans la config par defaut ?

les scripts sont dans

/usr/syno/etc/rc.d/

le message d'erreur est explicite le serveur est déjà lancé et en écoute !

il vaut mieux faire un stop

/usr/syno/etc/rc.d/S97apache-user.sh stop

/usr/syno/etc/rc.d/S97apache-sys.sh stop

modifier ce qu'il y a besoin

puis lancer les scripts

/usr/syno/etc/rc.d/S97apache-user.sh start

/usr/syno/etc/rc.d/S97apache-sys.sh start

apache-sys.sh lance apache en user root

apache-user.sh lance apache en user nobody

[gollum]

le message d'erreur est explicite le serveur est déjà lancé et en écoute !

il vaut mieux faire un stop

/usr/syno/etc/rc.d/S97apache-user.sh stop

/usr/syno/etc/rc.d/S97apache-sys.sh stop

modifier ce qu'il y a besoin

puis lancer les scripts

/usr/syno/etc/rc.d/S97apache-user.sh start

/usr/syno/etc/rc.d/S97apache-sys.sh start

apache-sys.sh lance apache en user root

apache-user.sh lance apache en user nobody

Merci. Mon erreur venait tout simplement du fait que j'avais oubliée l'étape 4) qui consiste à modifier le fichier /etc/synoinfo.conf

Comme le port était resté à 5001 dans ce fichier, la conf /usr/syno/apache/conf/extra/httpd-ssl.conf-sys semble être de nouveau forcée avec la valeur 5001 alors que je l'avais modifiée en 443. Du coût cela redémarrait avec cette valeur et donc apache-user.sh voulait écouter sur un port déjà utilisé.

Une fois /etc/synoinfo.conf mis à jour cela a été correct.

salut pourquoi aller piocher dans la config par defaut ?

les scripts sont dans

/usr/syno/etc/rc.d/

Bonne question ,Alastor 2262 saura répondre sans doute ...