Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

C’est juste, mais malheureusement c’est la seule solution que je peux utiliser pour l’instant 😉

Mais si un jour je change de NAS (je le dis tout de suite... ce n’est pas pour demain ^^), je ferais plus attention à la compatibilité des paquets type Docker ^^

Modifié par alan.dub
Lien vers le commentaire
Partager sur d’autres sites

Bon et bien tout fonctionne !!!

CardDAV avec reverse proxy : OK (macOS / iOS)

WebDAV avec reverse proxy : OK (macOS / iOS)

CalDAV (via WebDAV) avec reverse proxy : OK (macOS / iOS)

 

J'ai donc pu supprimer mes derniers ports HTTPS de ma BOX et de mon pare feu DSM :

5006 (pour WebDAV et CalDAV).

- 8443 (pour CardDAV).

Ne reste donc que les ports HTTP d'activés depuis WebDAV Server et CardDAV Server, le reste se faisant par le portail des applications (onglet proxy inversé).

 

Pour le reste... j'ai le strict minimum coté box et pare feu DSM pour VPN Server, Mail Server, Proxy Server et ports 80/443 pour let's Encrypt et reverse Proxy.

 

Encore merci pour toutes vos info 😃👍

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Encore merci pour ce tutoriel. Ez j'ai fait ma présentation maintenant, désolé pour ça.

Je suis arrivée à la dernière étape. Mais quand je tape: music.ndd.fr, je tombe sur ça (que j'essaye en réseau locale ou depuis mon tel directement connecté à la 3G).

1874346355_Sanstitre8.jpeg.e15c604cfc8dd2a7de2668fbb2057570.jpeg

 

Je n'ai pas trouvé le service web dans la rubrique aide.

 

De plus, je ne suis pas arrivée à faire cette étape:

Le 20/02/2018 à 09:11, Kawamashi a dit :

Le fichier index.html est la page d'accueil du site hébergé sur le NAS. On peut en profiter pour modifier ce fichier afin que notre page d'accueil présente plusieurs liens permettant de se connecter aux différents services présents sur le NAS.

est ce que le problème vient de là? mais dans ce cas qu'est ce que je dois faire? je ne connais vraiment rien en codage. J'ai essayé de trouver un tutoriel mais sans succès. 

Pour le fichier .htaccess, j'ai recopié exactement le code fourni. est ce que j'aurai du l'adapter?

Autre problème potentiel, depuis mon tel si je tape music.ndd.fr:443, j'obtiens un message "bad request" alors que si je tape music.ndd.fr j'obtiens la page montrée ci-dessus.

 

Merci d'avance

 

Cordialement

Lia

 

DSM218Play

Modifié par lia
Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, lia a dit :

Autre problème potentiel, depuis mon tel si je tape music.ndd.fr:443, j'obtiens un message "bad request" alors que si je tape music.ndd.fr j'obtiens la page montrée ci-dessus.

Si tu veux passer en https, il faut taper https://music.ndd.fr.

Si tu saisis une url sans préfix, ton navigateur l'interprète comme un requête http, et si un port n'est pas explicitement précisé, il l'envoie sur le port 80 par défaut.

Mais le port 443, c'est le port par défaut du https, port qui n’accepte que du https. Donc ta requête part en http sur un port qui n’accepte que du https => d’où "bad request"

Le message renvoyé est d’ailleurs assez explicite:

image.png.657cf5ca7f6a1152909995958bc19b12.png

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, Zeus a dit :

Oui, il faut que tu mettes ton certificat Let's Encrypt par défaut et que tu vérifies dans les paramètres du certificat qu'il est configuré pour tous les domaines entrés.

Ensuite ça ira mieux 😉

 

merci! en effet ça marche! je pense que sans ce forum j'aurai dépensé 400eur pour rien! 

en passant je n'ai plus qu'un seul certificat, celui de Let's Encrypt qui couvre pour tous les sous domaines, et FTPS, paramètres sytème par défaut et drive

Lien vers le commentaire
Partager sur d’autres sites

Bonjour.

Fraîchement arrivé sur le site (je viens de rédiger un petit mot de présentation perso), je me suis penché sur ce tuto avec une certaine avidité ... Mon problème : je suis une buse en réseau même en essayant de me soigner.

J'ai procédé par étape en suivant le tuto :

- création d'un DNN ; pour mes tests je ne me suis pas tourné vers OVH, j'ai utilisé l'option offerte par Synology dans le DSM et ... c'est peut-être mon erreur (DNN = xxx.synology.me);

- modification du NAT/PAT de mon routeur (livebox 3 avec IP fixe pour le NAS DS218 - DSM 6.2.1-23824 update 6) routage des ports 80, 443 et 5001;

- création du certificat de sécurité avec Let's Encrypt;

- création du reverse proxy pour audio, file et domoticz;

A ce stade, avec chrome, j'accède bien à DSM par l'extéreur en HTTPS avec le DNN précité (sans spécifier le port) mais pour ce qui concerne audio, file et domoticz je me retrouve avec une erreur NET::ERR_CERT_COMMON_NAME_INVALID.

J'ai potassé le web mais je ne m'en sors pas ... J'ai dû rater un truc ... Un petit coup de main serait le bienvenu.

Merci.

Lien vers le commentaire
Partager sur d’autres sites

@Kawamashi :

Tu devrais préciser en rouge bien visible que la Martinique dans tes règles de pare feu, c'est POUR TOI.

Je dépanne en ce moment même quelqu'un (débutant) par MP qui l'a ouvert en lisant ton tuto et en pensant qu'il fallait aussi le faire pour lui alors qu'il n'a aucun lien avec la Martinique.

J'ai aussi déjà constaté cette restriction mise en place sur d'autres NAS de débutants quand je les dépannais via Anydesk. Je n'y ai pas prêté attention sur ces moments jusqu'à aujourd'hui que cette personne me précise pourquoi l'avoir ajouté et je me dis que ces autres personnes ont certainement fait la même chose !

 

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Vue que je suis débutant dans le domaine pourquoi ne pas utiliser les "alias" qui pour moi font le même résultat ? sauf si je n'est pas encore perçu la différence avec le reverse proxy ?

car quand je tape https://ndd/audio => j'arrive sur la page audio station directement

NAS24.PNG

Merci

Lien vers le commentaire
Partager sur d’autres sites

Bonjour felix62

Ce dont je suis certain c'est qu'avec le reverse proxy il n'est nécessaire d'ouvrir que le port 443 vers le NAS (Ce n'est qu'une fois dans le réseau local que le port de l'appli est utilisé).

Avec les alias je ne sais pas si c'est le cas. A valider par les forts en thème de ce forum 😀

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Je ne pourrais te donner d'argument précis. Question de choix je dirais sans compter que ça serait limité à quelques services intégrés à DSM comme Audio Station, Vidéo Station etc...

Alors que les règles Reverse Proxy sont illimitées.

Perso, j'utilise un seul alias, c'est celui pour Chat en plus d'une règle Reverse proxy pour ce dernier car mon domaine n'est pas fonctionnel côté Android alors qu'il l'est sur toutes autres plateformes.

Peut-être que les soucis rencontrés chez les utilisateurs Android ont été réglés entre temps et que je pourrais supprimé cet alias, je ne sais pas.

Lien vers le commentaire
Partager sur d’autres sites

Pas spécialement plus simple selon le nombre de services que tu as. Je dois utiliser une quinzaine de domaines alors je suis pas content de tout avoir en Reverse Proxy et un seul en doublon qui est un alias pour contrer des soucis techniques sur une plateforme en particulier.

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

super tuto, mais ... ça ne marche pas pour moi !

impossible de faire fonctionner tout ça, et je ne sais pas du tout ce qui bloque ;

j'explique ce que j'ai fait :

1:  j'ai créé un nom de domaine chez OVH (le ping sur ce nom m'indique bien l'adresse de ma box) ;

2: sur la box (nordnet), j'ai ouvert les ports 443 et 80, redirigés vers le nas :

image.png.42657c77ff09e2fca0ef993b3ce1e5b3.png

3: sur le nas, portail des applis :

image.png.a644fa3c4d3167a4f9ba28dbbdf619d7.png

4: proxy inversé :

(localhost ou @ip du nas, aucune différence...)

image.png.ad4a360514f629eaed717e286c419aa9.png

5: firewall du nas : désactivé pour les essais (donc tout devrait passer) ;

résultat :  sous firefox, je tente : https://files.ndd.ovh :

après alerte de sécurité :

image.png.326c7284616538e3c26d604c436ab13f.png

j'ai beau essayer d'ajouter "/files" à la fin, ou le n° de port, rien dne change ...

si je tente l'accès à DSM  : https://nas.ndd.ovh :

image.png.dd20c17ffcbbca2c0b8485c725d470b3.png

 c'est galère ....

du coup, qqs questions :

- où ai-je merdouillé ?

- comment savoir si les requêtes traversent bien la box ?

- comment savoir si le reverse proxy reçoit bien ces requêtes et les redirige là où il faut ? (journal mode debug qqpart ?)

- pendant que je suis là, question théorie des réseaux : impossible de pinguer l'@ip wan de ma box depuis mon lan (ça marche depuis l'extérieur), je suppose que c'est normal, mais pourquoi ?

 

merci d'avance pour vos réponses ...

 

 

 

 

 

 

 

image.png

image.png

image.png

Modifié par Corion
Lien vers le commentaire
Partager sur d’autres sites

As-tu ajouté ton sous-domaine files.ndd.ovh à ta zone DNS OVH ?

files.ndd.ovh CNAME nas.ndd.ovh

Si le ping depuis l'extérieur de ton LAN renvoie l'IP WAN de ta box c'est qu'au moins l'enregistrement A de ton IP fixe sur OVH ou l'entrée Dynhost vers ton IP dynamique est correctement configurée.

Lien vers le commentaire
Partager sur d’autres sites

bonjour Shadowking,

dans la zone OVH, j'ai ajouté : *.ndd.ovh, donc n'importe quelle adresse dans le domaine ndd.ovh est redirigée vers ma box (si j'ai bien tout compris ...)

(d'ailleurs, un ping toto.ndd.ovh fonctionne parfaitement, alors qu'aucun tot n'a été configuré où que ce soit)

en fin de compte, le paramétrage de tout ça est (à priori) assez simple, je dois passer à côté de qqchose gros comme moi, mais quoi ??....

ce qui manque dans cette démarche est une méthode de vérification de chaque étape ; en vba je tracerais tout ça avec des debug.print, mais là ....

 

une petite question (encore une) : le port 80 est redirigée vers le nas, mais aucune redirection n'est précisée pour ce port dans le reverse proxy : il en fait quoi  le nas des requêtes sur ce port ?

Lien vers le commentaire
Partager sur d’autres sites

 

qqs tentives plus tard ....

après lecture du post de Alcyon du 27/04/18, j'ai modifié la destination en https dans le reverse proxy (et ajouté le port https dans le portail des appli), et là ça fonctionne ! j'y accède bien depuis files.ndd.ovh, et aussi par nas.ndd.ovh ;

mais ... si ça fonctionne en http chez vous, pourquoi pas chez moi ?

Modifié par Corion
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pour que cela fonctionne il faut que tu rediriges les http en https à l'aide d'un fichier .htaccess dans le dossier web. Tu trouveras comment faire dans ce forum. Remplace aussi 192.168.0.10 par localhost ce n'est peut-être pas indispensable mais c'est la méthode habituelle.

 

Lien vers le commentaire
Partager sur d’autres sites

bonjour Jeff777,

le .htaccess c'est pour accéder au nas via un http://, mais ce que je voulais dire c'est que contrairement à ce qui est expliqué dans le tuto, j'ai du configurer la destination du reverse proxy en https ; si je reste en http ça ne fonctionne pas :

image.png.c60dd96b51b4e833d4a5a2582c4e17a7.png

ce n'est pas bien grave (je pense), mais ça crypte inutilement les données en interne ...( dixit le tuto)

concernant le .htaccess, ça me gonfle de devoir implémenter un serveur web, alors qu'il suffit de préciser https:// pour accéder au nas, ce n'est pas la mer à boire ...
 

 

Modifié par Corion
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.