Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

il y a 52 minutes, arl0ng a dit :

Là, je suis en train de désactiver quickconnect,

Ben si tu as un nom de domaine tu n'a plus besoin de quickconnect.

il y a 53 minutes, arl0ng a dit :

Voilà, problèmes résolus, pour dsm, file station et download station, dans le reverse proxy j'ai dû utiliser le port https (pour le localhost) et non le port http...

curieux ! tu devrais pouvoir accéder sur le http. Ta connexion est cryptée une première fois lorsque tu te connectes au NAS avec l'adresse (par exemple)  https://ds.xxx.be  (ou avec http://ds.xxx.be qui est redirigé vers https://ds.xxx.be par le htaccess) . Un recryptage en interne n'est pas nécessaire par le reverse proxy.

Remarque Avant tout essai de connexion suite à un changement de config il est souhaitable de vider le cache du navigateur qui peut avoir conserver la réponse précédente.

il y a 31 minutes, Mic13710 a dit :

Probablement parce-que vous avez activé le http vers https

Ah oui bon réflexe @Mic13710 

Il faut décocher la première case dans panneau de config/réseau/paramètres DSM    !

Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, Jeff777 a dit :

Ben si tu as un nom de domaine tu n'a plus besoin de quickconnect.

curieux ! tu devrais pouvoir accéder sur le http. Ta connexion est cryptée une première fois lorsque tu te connectes au NAS avec l'adresse (par exemple)  https://ds.xxx.be  (ou avec http://ds.xxx.be qui est redirigé vers https://ds.xxx.be par le htaccess) . Un recryptage en interne n'est pas nécessaire par le reverse proxy.

Remarque Avant tout essai de connexion suite à un changement de config il est souhaitable de vider le cache du navigateur qui peut avoir conserver la réponse précédente.

Ah oui bon réflexe @Mic13710 

Il faut décocher la première case dans panneau de config/réseau/paramètres DSM    !

Ah oui c'est vrai 😕

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Tout fonctionne correctement depuis que j'ai décoché la redirection http ==> https.

Maintenant, j'ai entrepris d'installer wordpress (avec nginx) mais, une fois que j'avais activé le site personnel et virtual host, je n'avais plus accès à mes url du reverse proxy.

image.png.9be65b7a79aa90c0ab167bc5d0f06463.png

Y a-t-il quelque chose que j'ai omis ?

Lien vers le commentaire
Partager sur d’autres sites

Le 20/02/2018 à 09:11, Kawamashi a dit :

Il faut activer le HTTP/2. Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé).

Bonjour @arl0ng

Ci-dessus ce qui est écrit dans le tuto. 

Lien vers le commentaire
Partager sur d’autres sites

Hello!

J'utilise le reverse proxy depuis un moment pour des services installés dans des containers docker, ça marche au poil avec certificats let's encrypt.

Je me demandais s'il était possible d'utiliser le reverse proxy pour rediriger vers une adresse externe au réseau locale (un site internet quelconque). J'ai essayé, et ça ne fonctionne pas. Ni en mettant l'adresse textuelle ni en renseignant l'adresse ip dudit site. Est-ce normal? Si oui peut-on réellement se servir du reverse proxy pour cela? En résumé c'est pour faciliter l'accès à un site à ma mère  😄sans qu'elle ait à changer le favori à chaque fois que le site en question change de nom de domaine (ce qui arrive régulièrement). Et comme ça je lui re-paramètre le reverse proxy à distance dés que j'ai connaissance d'un changement.

Merki

Modifié par morback
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @morback

Le reverse proxy il te permet de rediriger une requête externe vers une adresse locale.

Ce que tu voudrais faire cela doit être possible avec DNS Serveur mais pas très simple.

Je te conseillerais plutôt l'utilisation de Teamviewer pour modifier directement le raccourci sur le PC de ta mère (c'est ce que je fais quand la mienne a un problème......92 ans quand même !)

Lien vers le commentaire
Partager sur d’autres sites

Yes! Mes respects à  ta mère (ça fait bizarre de dire ça xD) et j'espère que j'arriverai à cet age-là... Bien sûr pour Teamviewer mais comme j'ai installé mon vieux ds213J chez elle j'aurais aimé faire en sorte qu'elle n'ai pas à faire face au problème s'il arrive ou qu'elle soit obligée d'allumer le pc pour le dépannage. Mais ce n'est qu'un détail, je m'en passerai car je n'installerai pas DNS server sur le 213J. Déjà que le https seul a tendance à réduire les débits... Merci de ta réponse !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Je me permets de vous soumettre une interrogation sur ma conf reverse proxy fraichement paramétrée en suivant ce tuto (et les tutos secu). En effet tout semble fonctionner correctement chez moi en tapant https://monsousdomaine.mondomaine.fr, mais quand j'accède de postes à l’extérieur en https j'ai des alertes de sécurité (le certificat affiché est émit par comodo pour mailconfig.ovh.net?!) et le forçage de la navigation me redirige vers www.mondomaine.fr avec le message d'accueil OVH.

J'ai fait ma conf il y a plus de 24h maintenant donc normalement la propagation est faite, je nettoie les cookies et vide le cache navigateur à chaque fois pour mes tests.

Voici ce que je veux exposer:

  • mondsm.mondomaine.fr vers l'interface de gestion dsm
  • mesfichiers.mondomaine.fr vers filestation
  • monsite.mondomaine.fr vers un web site perso qui tourne sous docker et expose un unique port local en http

Chez OVH voici ma conf zone DNS (je remarque que pas mal d'entrées ont été ajoutées après émission du certificat let's Encrypt):

OVH_Conf1.thumb.png.32afd32e4562ccbb2b437c2d2744c107.png

OVH_Conf2.thumb.png.7ecb8ead5a4106d0b0d202799b5bdb04.png

OVH_Conf3.thumb.png.dd61cc0562685ce542ee4c30e8827d31.png

 

Côté Box (je suis en IP Fixe), j'ai routé pour l'instant les ports WAN:443 vers monNASLAN:443 et WAN:80 vers monNASLAN:80. Pas de règle firewall.

Côté NAS j'ai pour l'instant décoché la redirection http vers https, ouvert les ports 443 et 80 full patate dans le firewall (je restreindrai ensuite), j'ai émis un certificat let's encrypt pour mondomaine.fr ainsi que pour les objets www.mondomaine.fr, mondsm.mondomaine.fr, mesfichiers.mondomaine.fr, monsite.mondomaine.fr plus quelques autres en prévisions mais qui ne sont pas encore mappés dans mon reverse proxy. J'ai supprimé le certificat Synology.

Côté reverse proxy je mappe mes sous domaines https://mondsm.mondomaine.fr, https://mesfichiers.mondomaine.fr et https://monsite.mondomaine.fr (sans HSTS) vers mes ports http locaux respectifs.

Enfin j'ai créé le .htaccess à la racine dans webstation avec l'url rewritting.

 

Les questions que je me pose sont donc:

  • Est-ce que j'ai un problème dans mes entrées zone DNS chez OVH?
  • Est-ce que tout simplement il faut que j'attende plus longtemps pour la propagation (déjà presque 30h de passées quand même)?
  • Est-ce que le fait d'émettre un certificat pour des sous-domaines qui ne sont pas encore mappés est problématique?
  • Est-ce que le fait d'exposer mon site sous Docker avec un unique port http pose problème avec l'url rewritting?

J'espère avoir été exhaustif dans mes explications et je vous remercie d'avance si vous avez des pistes ou des explications sur mon problème.

Bien à vous

Kath

Modifié par Kathnduirh
Lien vers le commentaire
Partager sur d’autres sites

Hello @PiwiLAbruti

Merci pour ton retour! Le resultat du nslookup sur mes trois sous domaines sont dans l'ordre des IP:

  • mondsm.mondomaine => mon IP publique et 213.186.33.5
  • monsite.mondomaine => 213.186.33.5 et mon IP publique
  • mesfichiers.mondomaine => 213.186.33.5 et mon IP publique

213.186.33.5 semble être un serveur de redirection chez OVH.

Typiquement l'ordre des IP est inversé pour mes deux derniers sous domaines et c'est sur ceux là que j'ai des problèmes de certificat, c'est ce dernier qui est utilisé:

Sur Edge image.png.8e870d5bf49d908882f8b906ffa04375.png

Sur Chrome image.png.ca6cd6be77354025c92e4953ea24e172.png

Une idée de ce qu'il se passe?

Modifié par Kathnduirh
Lien vers le commentaire
Partager sur d’autres sites

213.186.33.5 c'est une IP de chez OVH. Et c'est normal puisque tu as 2 entrées DNS pour domaine.fr.
Une qui pointe vers ton IP publique (avec un TTL de 60) et une vers OVH (TTL de 0). Supprime celle vers OVH (TTL de 0).
Sinon le DNS fait du round robin et une requête sur 2 est envoyée chez OVH. 🙂

Lien vers le commentaire
Partager sur d’autres sites

N'attends pas 24 heures, normalement c'est assez rapide.

24 heures sur le DNS c'est parce que certains serveurs (entités) ont un délai de 86400 secondes avant d'aller chercher les enregistrements à jour. Mais ce n'est pas "normal".
Sur les principaux FAI, c'est assez rapide. Et je parle en minutes. 🙂
Regarde ici pour valider : https://dnschecker.org/

Lien vers le commentaire
Partager sur d’autres sites

Je suis un peu naze je connais nslookup en plus, mais j'en abuse pas assez...

En tout cas c'est all good, je ne comprends pas pourquoi OVH créée cette entrée par défaut mais pb résolu!

Encore un grand merci à tous les deux pour votre temps et votre aide

Kath

Modifié par Kathnduirh
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonsoir, 

J'ai une IP dynamique, un ndd chez OVH avec le dynhost paramétré. J'ai voulu créer une règle de reverse-proxy pour pouvoir accéder à plex, mais quand je tape "plex.maximiaou.ch", je suis redirigé vers le port du DSM. Ai-je fait quelque chose de faux dans les paramétrages ci-dessous ? Merci d'avance !

 

Capture d’écran 2020-01-28 à 22.21.40.png

Capture d’écran 2020-01-28 à 22.21.34.png

Modifié par Jules Perrelet
Lien vers le commentaire
Partager sur d’autres sites

Effectivement, je me suis emmêlé les pinceaux ! Ce qui me ramène à deux petits soucis :

- que ce soit le site racine maximiaou.ch, ou le sous-domaine plex.maximiaou.ch (censé pointer vers Plex) qui ouvre une page avec cette image (j'imagine qu'il faut éditer le fichier index.html, mais je ne sais pas comment)

418366195_Capturedecran2020-01-29a00_04_33.thumb.png.dfcafcc3e78f75bd5375ff1d06c4a135.png

- ça s'affiche en non-sécurisé, et quand je clique sur le bouton, il est indiqué que c'est le certificat synology qui est installé, et pas le certificat Let's Encrypt, qui est pourtant actif dans le DSM

Modifié par Jules Perrelet
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.