Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

🙄

 

Euhhh comment dire. Si tu as 10 routeurs sur ton réseau entre ta connexion internet et ton NAS alors il te faut ouvrir les même règles sur les 10 routeurs.

Pourquoi as-tu mit un autre routeur comme répétiteur ? Autant le laisser en DMZ et laisser le premier tout gérer.

Lien vers le commentaire
Partager sur d’autres sites

C'est fait, pour le flux entrant et sortant. Sur le routeur et le répétiteur. Mais je ne vois toujours pas les ports visibles sur le site https://www.canyouseeme.org/ 

Y a-t-il un lien avec le fait que c'est du IPV6 sur le routeur principal ? Désolé pour la naïveté des questions, mais je n'y connais pas grand chose !

Lien vers le commentaire
Partager sur d’autres sites

La différence ici entre IPV4 et IPV6 est qu'en IPV4, tu as une seule adresse et c'est la box qui dispatche l'accès aux équipements du réseau local avec les redirections de ports du NAT.

En IPV6, les machines du réseau local sont accessibles de l'extérieur (sauf si un firewall est actif dans la box) et les redirections de port de la box sont inopérantes, celles des routeurs intermédiaires éventuels également.

Pour les règles du pare-feu, il faut parfois faire des règles spécifiques pour IPV6. Par exemple pour dire qu'on accepte telles connexions à l'intérieur du réseau local, on définit le réseau local comme les machines accessibles par des adresses IPV4 locales non routables. Avec IPV6, il faut ajouter le préfixe IPV6 du réseau local (par ex 2a01:xxxx:yyyy:zzzz::/64).

Lien vers le commentaire
Partager sur d’autres sites

Salut DD5992, 

Merci pour les précisions. Pour le moment, je suis un peu perdu car le routeur principal tourne apparemment en IPV6, et je lui ai ouvert les ports 80, 443 et 32400 (pour Plex). J'ai fait pareil sur mon répétiteur un étage plus bas, qui constitue en fait ma borne WiFi. 

A partir de la, je ne sais plus trop quoi bidouiller pour enfin espérer avoir une chance d'accéder à mon contenu de partout 😄

Lien vers le commentaire
Partager sur d’autres sites

Même si le routeur principal ouvre à IPV6, il doit sûrement encore permettre à ton réseau local d'être en IPV4. Ton réseau local doit être en "Double Stack" et faire co-exister les deux.

De plus, tu peux choisir de n'utiliser que IPV4 en mettant dans les parties cible des règles de ton reverse-proxy des adresses IPV4 (ou des noms qui ne se résolvent qu'en IPV4. Tu peux aussi désactiver l'IPV6 sur les routeurs et les machines de ton réseau qui le permettent (syno, PC, ...). Tu pourras alors ignorer la problématique IPV6 pour régler ton problème.

Modifié par dd5992
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Un petit point de situation pour vous expliquer que depuis ma dernière tentative, j'ai branché le NAS directement sur le routeur principal. Désormais, j'ai accès à mon NAS n'importe où sur mon réseau local (donc depuis n'importe lequel autre point d'accès WiFi). J'ai cependant deux problèmes, dont l'un concerne directement le reverse-proxy ! En effet

- impossible de paramétrer le reverse-proxy, n'importe quel nom qui précède mon .monnomdedomaine.ch renvoie directement à mon serveur. Par exemple, le filestation qui est sur le port 7000 ne s'ouvre pas avec une règle. Ca marche par contre en "activant un domaine personnalisé" directement sous "application" dans le "portail d'applications". 

- toujours impossible de se connecter depuis l'extérieur à mon NAS 😞

Si vous avez des idées pour ces deux problématiques, je suis preneur !

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour et merci pour ce tuto!

Je suis allé jusqu'au bout, mais les choses ne fonctionnent pas parfaitement pour moi.

La redirection vers https ne fonctionne pas, alors que quand je vérifie les étapes, j'ai tout paramétré comme indiqué dans les captures d'écran. Lorsque j'essaie de me connecter depuis l'extérieur, j'ai immanquablement un avertissement de sécurité. Lorsque je demande de me connecter quand même, je tombe sur la capture d'écran jointe. Même en me connectant de chez moi, ma connexion n'est pas sécurisée.

Merci de vos lumières...

Capture d’écran 2019-07-11 à 20.31.31.png

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

As-tu créé un certificat SSL ? Si oui, alors : est-ce que ton certificat Let's Encrypt a été mit par défaut ?

Pour la redirection auto, tu es passé par quoi exactement ? Le fichier .htaccess ou .php ? Si .php, il faut renommer l'index.html dans le dossier "web".

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Merci de ta réponse. J'ai créé un certificat ssl avec Let's Encrypt. Il n'apparait pas comme certificat par défaut. J'ai un certificat autosigné par défaut qu'il m'est impossible de supprimer. Je n'ai pas trouvé non plus comment mettre le certificat Lets Encrypt par défaut.

Pour la redirection, je passe par .htaccess : j'ai fait un copier-coller du code dans le tuto vers un fichier texte et je lai enregistré à la racine du dossier web de mon NAS.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour

J'ai lu ce topic avec grand intérêt. Merci à @Kawamashi pour ce tuto plutôt bien fait (et bien détaillé).

J'ai décidé de le mettre en œuvre (sur une seule appli) et, même si j'ai encore des questions, ça a l'air de fonctionner.
J'ai une IP fixe et un nom de domaine ... je partais, donc, dans un contexte privilégié (cf. les difficultés de certains avec dyndns).

  • J'ai créé le CNAME qui va bien chez mon registrar.
  • J'ai mis en place mon certificat "Wildcard" en suivant le tuto dédié (merci @Zeus)
  • Sur mon routeur (box), j'ai dirigé le port 443 vers mon nas
    Je n'ai rien fait avec le port 80 car, d'abord, j'ai lu, ailleurs sur ce forum, qu'il fallait être très prudent avec ce port 80, ensuite, je n'ai pas trop capté ce qui traitait de htaccess et, enfin et comme je l'ai lu dans ce topic, ce n'est pas la mer à boire que de rajouter "https://" devant l'adresse.
  • J'ai mis à jour mes règles de pare-feu
  • Dans le portail des applications, j'ai fait ce qui est indiqué dans ce tuto (appli "Audio station" seulement)
  • Et, enfin, j'ai fait un test en tapant dans la barre d'adresse https://music.ndd.tld  et suis bien arrivé sur Audio Station

 

J'en viens donc aux questions :

  1. L'utilisation du reverse proxi est-elle une bonne alternative à une connexion VPN (que je ne suis pas arrivé à mettre en place) ?
    La connexion est-elle autant sécurisée ?
  2. Quel est l'intérêt de définir plusieurs sous-domaines quand un seul sous-domaine (nas.ndd.tld) peut aiguiller vers DSM (port 5000) et que, de là, on peut accéder à toutes les applis ?
  3. Le portail des applis ne présente pas toutes les applis. Comment rajouter une entrée ?  (la question a été posée par @Hitman_11 mais la réponse de @Zeus, faisant référence à un dépannage, ne m'a pas beaucoup aidé)
    => Si je veux accéder à Mail Station (qui n’apparaît pas dans liste des applis), puis-je me contenter de créer une règle de proxi inversé en indiquant comme destination localhost:993 ?   (993 étant le port utilisé pour IMAP-SSL/TLS)
    ==> Si oui, le port 993 étant chiffré, dois-je indiquer le protocole httpS en destination ?

Voilà, j'aurai certainement d'autres questions ... ça dépendra des réponses à celles-ci.

Merci d'avance pour vos réponses

Lien vers le commentaire
Partager sur d’autres sites

C''est justement le rôle du reverse proxy de pouvoir diriger vers chaque application sans avoir  à passer par DSM. Si on veut uniquement accéder à video station, pourquoi passer par DSM pour lancer le paquet alors qu'il est infiniment plus simple de déclarer un ndd du genre video.ndd pour ouvrir directement video station.

Ceci dit, vous êtes tout à fait en droit de faire compliqué alors qu'une solution simple existe. A vous de voir où se situe la simplicité d'usage ! 😊

Lien vers le commentaire
Partager sur d’autres sites

@Jeanbagnès :

Quels soucis as-tu encore à ce moment précis ?

Si tu as créé correctement le .htaccess alors tu devrais avoir la redirection auto 80 => 443 de fonctionnelle.

Pour le certificat, si comme tu le dis il est par défaut alors tu ne devrais plus avoir d'avertissement de sécurité par ton navigateur en te connectant à ton domaine.

 

@D34 Angel :

Citation

L'utilisation du reverse proxi est-elle une bonne alternative à une connexion VPN (que je ne suis pas arrivé à mettre en place) ?
La connexion est-elle autant sécurisée ?

Bonne alternative, je dirais pas vraiment. Disons que pour ceux ne pouvant avoir un serveur VPN, c'est le meilleur qu'il y ai car tu n'ouvres plus qu'un ou deux ports (443 ou 80 et 443 avec redirection auto vers le 443).

Le mieux restera toujours la connexion VPN mais tout le monde ne peut pas le faire. Petite connexion par exemple...

Citation

Quel est l'intérêt de définir plusieurs sous-domaines quand un seul sous-domaine (nas.ndd.tld) peut aiguiller vers DSM (port 5000) et que, de là, on peut accéder à toutes les applis ?

L'intérêt est justement d'éviter au maximum d'aller sur DSM sans compter que toi, tu t'arrêtes certainement aux services de base de Synology mais il existe d'autres variantes de services ou tu n'as pas le choix que de mettre en place le reverse proxy pour atteindre ses dis services à moins d'en apprendre par cœur tous les ports... Ex avec des dossiers dans Webstation, des applications installées avec Docker, un DDSM, d'autres VM etc...

Citation

Si je veux accéder à Mail Station (qui n’apparaît pas dans liste des applis), puis-je me contenter de créer une règle de proxi inversé en indiquant comme destination localhost:993 ?

Pas vraiment non. Tu peux en effet te contenter de créer une règle dans le proxy inversé mais il ne faudra pas indiquer le port 993... Ce port sert simplement à ton application pour récupérer les mails. Tout comme le 587 sert à ton application à les envoyer.

Pour l'utilisateur, ça sera sur le port 443 qui aura été redirigé avec le domaine (mail.ndd.tld) sur le port de ce dernier.

Lien vers le commentaire
Partager sur d’autres sites

@D34 Angel:

Il y a 10 heures, D34 Angel a dit :

L'utilisation du reverse proxi est-elle une bonne alternative à une connexion VPN (que je ne suis pas arrivé à mettre en place) ?

En fait les deux ont des utilisations différentes :

Si l'objectif est de donner un accès sécurisé aux services de ton réseau pour un petit nombre pré-déterminé de personnes, alors le VPN est fait pour toi.

Si tu souhaites ouvrir à un nombre indéterminé de personnes quelques services http et/ou https de ton réseau en n'utilisant que le port 443 et/ou le 80 ou que tes utilisateurs ont une contrainte de port utilisables de là où ils souhaitent se connecter (certains employeurs limitent volontairement l'utilisation d'Internet de chez eux à certains ports, dont le 443, et certains protocoles, dont le https, ce qui exclue de se connecter à un VPN), utilises plutôt le reverse-proxy.

Il y a 10 heures, D34 Angel a dit :

Le portail des applis ne présente pas toutes les applis. Comment rajouter une entrée ? 

Pas besoin que l'application soit décrite dans le portail des applications. En fait, l'appli peut même être hébergée par une autre machine du réseau local et même encore plus large être accessible sur Internet. Ce qu'il te faut :

  1. que l'application soit accessible par le protocole http ou https. Par exemple, pas question d'accéder comme ça à un serveur FTP ou un serveur mail imap, mais OK pour un webmail.
  2. que tu connaisses l'adresse à utiliser et le port d'accès pour cette application. Si la machine qui héberge l'application est celle où est implanté le reverse-proxy, tu peux utiliser l'adresse "localhost". Cet éléments sont à renseigner dans les champs "Destination" de la règle du reverse-proxy.
  3. que de l'extérieur le port 443 renvoie dans ta box vers le port d'entrée du reverse-proxy
Modifié par dd5992
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.