Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Bonjour Jules,

Je crois me souvenir que le nombre de demandes de certificat est limité et si l'on excède ce nombre, un message d'erreur dit que le port 80 n'est pas ouvert. De mémoire c'est 5 demandes par semaine. Il faut donc attendre que la première  des 5 dernières demandes date de plus d'une semaine.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Vos règles sont un peu folklo.

Sur votre routeur, vous ouvrez le port 5000 (pas recommandé), mais vous ne l'autorisez pas dans le parefeu du NAS. La redirection ne sert donc à rien. Supprimez là, ou au pire utilisez au moins le 5001, bien que là non plus ce ne soit pas recommandé.

Sur le parefeu, vous autorisez les 2 ports LE, c'est bien. Manque de pot, la règle juste avant autorise tous les accès au port 80. Il faut supprimer cette règle pour ne laisse que le 443.

Que vient faire l'accès au terminal chiffré en tête des règles ?

Je vois 2 choses qui peuvent générer le message à propos du port 80 :

  1. Un de vos ndd n'est pas valide ce qui bloque la création du certificat et provoque ce message ambigu
  2. Votre FAI ne vous donne pas accès au port 80. C'est le cas chez certains (Videotron par exemple au Canada)

 

Lien vers le commentaire
Partager sur d’autres sites

Merci pour votre réponse @Mic13710

J'imagine que chaque configuration est un peu différente et unique (du à la configuration personnelle, et au FAI qui diffère entre chaque pays ; je suis chez Swisscom, en Suisse). Du coup, j'ai suivi les divers tutoriels liés à la sécurité ici, du mieux que j'ai pu. N'ayant aucune connaissance "métier", j'ai tenté de bidouiller les règles du port de mon routeur en piochant ça et là des infos. 

Je vais suivre vos recommandations et reviens vers vous ! Merci

 

Lien vers le commentaire
Partager sur d’autres sites

Salut,

J'ai réussi à mettre le serveur proxy en place, tous mes sous-domaines fonctionnent et sont accessibles en https.

Toutefois, si un nouveau visiteur passait par là je souhaiterais qu'il soit redirigé en https lorsqu'il tape l'adresse web.

Actuellement ça n'est pas le cas. Voici en gros ce que j'ai mis en place hormis la configuration de base du reverse proxy :

Création d'un fichier .htaccess à la racine du dossier web qui contient le code suivant :

Le 20/02/2018 à 09:11, Kawamashi a dit :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

ou celui-là :

Le 13/11/2018 à 16:39, Spi a dit :

RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

En passant, je n'ai rien changé (même si au début je croyais qu'il y avait eu une faute de frappe dans "URI" contre "URL". Le texte cité ci-dessus a été placé tel quel dans le dossier partagé /web.

Sinon, voici quelques paramètres principaux et autres informations probablement utiles :

  • Le HSTS a été désactivé sur l'ensemble des sous-domaines.
  • Dans les paramètres généraux de Web Station j'ai Apache HTTP Server 2.2 qui tourne et je suis sur PHP 5.6... Je ne sais pas si ça peu avoir une influence...
  • Dans Web Station, rubrique "Virtual Host" il y a mon domaine "www.ndd.tld"
  • Dans le panneau de configuration, Réseau, rubrique "Paramètres de DSM", la redirection automatique des connexions HTTP vers HTTPS sont désactivés.
  • Dans le dossier /web il y a deux dossiers : wordpress et phpMyAdmin

Comment faire en sorte que les requêtes http soient transférés en https ?

N'hésitez pas à me demander s'il vous faut plus d'infos ou de captures d'écran.

 

Lien vers le commentaire
Partager sur d’autres sites

Salut !

Je rencontre un problème sur mon reverse proxy. Et je but sèchement.

mon NAS est sur l'ip 192.168.1.111. Tout les services comme portainer et autres services web fonctionne correctement.

Exemple: https://test.ndd.com -> http://localhost:9000

Mais j'ai fait aussi des redirections pour un router et un hub.

https://router.ndd.com -> http://192.168.1.1:8080

https://hub.ndd.com -> http://192.168.1.11

Et chaque fois que me connecte sur une ip qui est rediriger autre que le NAS (localhost=192.168.1.111) impossible de se connecter.

Sous chrome c'est ERR_CONNECTION_REFUSED.

Cela ne le fais que sur les DNS en vue LAN.

Car en vue DNS WAN ben sa marche bien.

Faisant nslookup router.ndd.com. J'ai bien mon ip public

Faisant nslookup router.ndd.com 192.168.1.111 . J'ai bien mon ip local de mon router 192.168.1.1

Les reponse au ping de router.ndd.com est bien 192.168.1.1

Quelqu'un peut m’éclairer ?

Merci d'avance.

 

 

Modifié par Superthx
nslookup et ping
Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, Jeff777 a dit :

Bonjour Johnson,

Est-ce que le port 80 est autorisé dans le pare-feu du nas et la redirection faite dans la box ?

Bonjour,

Oui le 80 et le 443 sont ouverts côté router. Pour le pare-feu du NAS le 443 est ouvert pour tous mais le 80 est ouvert seulement pour 2 IP, celles pour renouveler le certificat Let's Encrypt.

Lien vers le commentaire
Partager sur d’autres sites

Le 21/08/2019 à 21:10, Johnson a dit :

le 80 est ouvert seulement pour 2 IP, celles pour renouveler le certificat Let's Encrypt.

Pour rediriger les http en https il faut passer par le .htaccess du nas dossier web donc via le port 80. Il faut donc ouvrir ce port quelque soit l'origine de la demande (qq soit l'adresse IP).

Si l'on ne veut pas ouvrir le port 80 alors les accès seront possibles uniquement en https.

Personnellement j'ai ouvert le port 80 mais je l'ai limité à la France et quelques autres pays où j'ai de potentiels utilisateurs.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

 

Bonjour,

Désolé en tout cas si la réponse est déjà présente mais je me perd entre les tutoriels et toutes les réponses associées pour solutionner mon problème malgré plusieurs tentatives...

Je souhaiterais simplement accéder à DSM et aux applications depuis un domaine principal (ex: toto.bzh) et des sous-domaines (audio.toto.bzh, video.toto.bzh).

J'ai pris un nom de domaine chez OVH tel que :

image.png.7ac4ff12b8faebcc2882d911428990cf.png

J'ai redirigé les ports 80 et 443 sur ma bbox respectivement sur les ports 80 et 443 de mon Syno.

J'ai ouvert les règles 80 et 443 dans les règles du firewall de mon Syno.

J'ai initialisé les sous-domaines avec les alias et les ports dans le portail des applications :

image.png.b9818ddc5b2b924834b868e74b925ce6.png

Mais lorsque je crée ma première règle de proxy inversé et que j'indique le sous-domaine, il m'indique que "le nom de domaine est déjà utilisé".

image.png.ca4eb2c8a1417aa8e32db6a4d50b9c38.png

Sauriez-vous me dire si tout ce que j'ai fait est OK et ce que je devrais faire ?

Et la question d'après sera de savoir avec quelles adresses (domaine ou sous-domaine ?) je pourrai accéder aux  applications (appli web ou appli android)  ? (sans indiquer de port). Je souhaite aussi conserver un accès au bureau de DSM avec le nom de domaine principal.

En vous remerciant à l'avance pour votre aide,

Arian

 

 

image.png

image.png

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Citation

J'ai initialisé les sous-domaines avec les alias et les ports dans le portail des applications :

Normal vu que tu as mit les domaines dans ta première capture. Il ne faut mettre que les ports locaux et c'est tout.

Citation

Et la question d'après sera de savoir avec quelles adresses (domaine ou sous-domaine ?) je pourrai accéder aux  applications (appli web ou appli android)  ? (sans indiquer de port). Je souhaite aussi conserver un accès au bureau de DSM avec le nom de domaine principal.

J'ai du mal à comprendre tes questions.

Si je résume, tu as créé des domaines via des règles de reverse proxy. Tu devras donc utiliser ces domaines pour joindre tes services.

Pour les applications sur smartphone, il te faudra par contre certainement préciser le port :443 après le domaine.

Pour le domaine pour DSM, tu dois simplement créé un domaine qui sera redirigé sur le port local 5000.

Lien vers le commentaire
Partager sur d’autres sites

Merci @Zeus pour ton accueil et ta réponse rapide.

Ok pour les ports sur appli. 

Par contre, je n'arrive pas à créer mon premier reverse proxy.

Pour moi , il fallait que je crée ces reverse proxy :

- HTTP / audio.toto.bzh / 80 vers HTTP / localhost / 8800

- HTTPS / audio.toto.bzh / 443 vers HTTPS / localhost / 8801

- HTTP / toto.bzh / 80 vers HTTP / localhost / 5000

- HTTPS / toto.bzh / 443 vers HTTPS / localhost / 5001

- ....

Mais cela pose déjà problème pour la création du premier...(comme montré sur la capture d'écran).

As-tu une idée du problème ?

 

Merci

 

Modifié par Arian
citation nom
Lien vers le commentaire
Partager sur d’autres sites

Pourquoi passer par le port 80 ? Laisse tout sur le port 443 déjà. Tu ne fais pas de règles sur le port 80.

Sur l'image ci-dessous, vire tous les ports https et les alias ainsi que les domaines !

Passe par l'onglet Proxy Inversé pour faire tes règles et suis le tuto.

image.png

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Super merci beaucoup ça fonctionne 😁 Mais c'est dommage de devoir indiquer le port sur les applis alors qu'il y a une case HTTPS...Aussi je pensais que grâce à l'alias, je pouvais éviter de rentrer toute l'adresse du sous-domaine et seulement le domaine. Tant pis je vais m'y faire.

Par contre, malgré mon certificat à jour valable pour mon domaine et mes sous-domaines, je rencontre une erreur de certificat sur navigateur  "ERR_CERT_AUTHORITY_INVALID". J'ai bien essayé depuis un accès extérieur. A quoi cela peut-il être dû ?

Merci en tout cas

 

Lien vers le commentaire
Partager sur d’autres sites

Okay je vais faire ça pour ce problème de certificat.

Par contre je me posais la question pour accéder à PhotoStation et DS Photo.

J'ai créé une règle de reverse proxy HTTPS / photo.toto.bzh / 443 -> HTTP / localhost / 80. Et j'essaie de me connecter sur l'appli DS Photot avec l'adresse photo.toto.bzh et coché la case HTTPS mais ça ne fonctionne pas. Aussi, impossible d'accéder à PhotoStation depuis DSM après m'être connecté en HTTPS à DSM (https://toto.bzh). 

Quelle est la démarche pour DSPhoto et PhotoStation ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

En effet, si tu avais prit le temps de chercher un petit peu, tu aurais vu qu'il n'était pas possible de base de faire une règle de reverse proxy pour PhotoStation. Tu dois passer par https://ndd.tld/photo

J'ai jamais essayé mais je sais qu'il existe une astuce en trafiquant un fichier htaccess. A toi de la trouver sur le forum car je ne sais plus ou c'est passé 😉

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pour htaccess :

La commande suivante dans le .htaccess (en option les lignes 2 et 3 qui permettent la redirection du http en https si l’on utilise le port 80) :

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^photo.toto.bzh$
RewriteRule ^$ https://toto.bzh/photo [L,R=301]

 

Faire un fichier texte, copier ces lignes et le renommer en .htaccess.

Mettre ce fichier à la racine du dossier web.

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Merci pour le tuto. En trifouillant dans ma configuration je me suis aperçu qu'il y avait tout le nécessaire pour faire le lien entre le sous-domaine et l'application à mettre en lien dans le menu Portail des Application  > Applications.

Il y a t-il une raison particulière de passer dans l'onglet Reverse Proxy dans ce cas-là ?

 

Reverse proxy.png

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

le domaine personnalisé ne fonctionne qu'en local. Avec VPN serveur ça doit fonctionner.

Sinon le principal intérêt du reverse proxy c'est de n'ouvrir qu'un seul port sur le nas (443 et à la limite 80 si on a une redirection http ==> https)

le port http de l'appli n'est utilisé qu'en local grâce à lui..

Tout dépend de l'usage que l'on fait de son nas. Si l'on veut donner un accès à ces proches qui ne sont pas sur le réseau local c'est un peu compliqué de leur faire installer un client VPN 😊

Dans ce cas le reverse proxy est la solution

Et si tu veux n'accéder à ton NAS que localement alors oui le domaine personnalisé ou l'alias sont à utiliser.

Lien vers le commentaire
Partager sur d’autres sites

 

il y a 8 minutes, _Megalegomane_ a dit :

beaucoup mieux détaillé que moi

Sauf que je n'ai pas précisé les deux points de _Megalegomane_ qui sont aussi fondamentaux.

Tu peux effectivement ajouter des enregistrements du reverse proxy qui ne sont pas des paquets Synology (des conteneurs docker

 ou des périphériques de ton réseau par exemple)🙂

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.