Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Je viens  de décocher et ça fonctionne à présent, en local comme de l'exterieur.

Ouf! Merci de votre aide.

Je vais me pencher sur le htaccess.

Une question, j'utilise beaucoup webdav, je peux utiliser le reverse proxy dans ce cas aussi?

Et comment modifier un certificat let's encrypt pour y ajouter des sous-domaines?

Modifié par Lomkelonnommanu
Lien vers le commentaire
Partager sur d’autres sites

il y a 53 minutes, Lomkelonnommanu a dit :

ça fonctionne à présent,

Super. Cette case crée souvent des problèmes.

il y a 53 minutes, Lomkelonnommanu a dit :

Je vais me pencher sur le htaccess.

Tu crées un fichier texte et y colle :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Tu l'enregistres et le renomme .htaccess (ne pas oublier le point et faire afficher les extensions de fichiers pour remplacer le xxx.txt  par .htaccess)

Tu le charges à la racine du dossier web.dans le NAS ( il faut installer Webstation pour que le dossier web soit présent).

Maintenant il faudra

 créer des certificats sur tes domaines pour que tartanpion.ndd  se transforme en https://tartanpion.ndd avec le cadenas.

il y a 53 minutes, Lomkelonnommanu a dit :

Et comment modifier un certificat let's encrypt pour y ajouter des sous-domaines?

Tu peux en ajouter c'est plus facile Ajouter Nouveau certificat/ Procurer vous un certifat let's encrypt.

Tu renseignes ton domaine une adresse internet valable et tes sous domaines que tu veux ajouter, séparés par des virgules.

Si tu as beaucoup de sous-domaines n'hésite pas à faire plusieurs certificats , plutôt que d'essayer d'en faire qu'un (tu augmentes le risque d'erreur).

Une fois le certificat créé il faut le configurer pour lui affecter les bons sous-domaines.

 

 

image.gif

image.gif

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Bonjour Jeff777,

Il me reste un soucis, je n'arrive pas à connecter mon Drive client sur mon mac en utilisant mon ndd.

Avec ios, pas de soucis en ayant activé le port (10002) sur le portail des appli et configurer le reverse proxy qui convient .

Je sais que le client pour mon mac n'utilise pas le même port alors j'ai créé une règle de reverse proxy pour rediriger sur ce port (6690) mais rien n'y fait, alors que tout va bien avec l'IP:Port.

Sais-tu comment je dois m'y prendre?

Lien vers le commentaire
Partager sur d’autres sites

Salut,

il y a une heure, Lomkelonnommanu a dit :

Avec ios, pas de soucis en ayant activé le port (10002) sur le portail des appli et configurer le reverse proxy qui convient .

oui c'est ce qu'il faut faire. Pour moi ça fonctionne avec client sur Android et sur Win10. Je n'ai essayé ni Mac OS ni IOS mais il n'y a pas de retour de pb à ma connaissance;

il y a une heure, Lomkelonnommanu a dit :

client pour mon mac n'utilise pas le même port

heu...le port 10002 que tu utilises dans le reverse proxy c'est le port d'arrivée sur ton NAS, il ne dépend pas du client. Au départ ta requète est une requète web avec le port 80 (http) ou 443 (https)

 

il y a une heure, Lomkelonnommanu a dit :

alors que tout va bien avec l'IP:Port.

Que veux tu dire par là ? sI tu veux dire que ça fonctionne sur MAC avec le même reverse proxy utilisant le port 10002 c'est normal. Il n'y a que l'application Drive Client que tu installes sur ton MAC qui est différente de celle d'IOS.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Désolé je n'ai pas été très clair.
Pour que le client ios je connecte, j'avais ouvert le port 10003 du nas. Pour le client mac c'était le 6690.

Aujourd'hui avec le nnd tout passe par le 443.

Pour accéder à drive depuis ios, aucun soucis. Dans le portail des appli j'ai activé http (10002) au lieu de https (10003), et j'ai configuré le reverse proxy pour qu'il pointe dessus. Et je le connecte en tapant https://ios.nnd.ovh:443.

Comme pour connecter le client drive de mon mac, il faut passer par le 6690, j'ai créé un proxy inversé: https://mac.nnd.ovh  pointant sur ce port en http. Mais échec de connection.
J'ai regardé si dans la console d'administration il y avait un paramètre à changer, j'ai tenté en pointant sur le port en https, j'ai tenté avec le port 10002, le 10003, le 5000, en tapant mac.nnd.ovh:443 comme avec ios... Rien y fait.

 

Modifié par Lomkelonnommanu
Lien vers le commentaire
Partager sur d’autres sites

Pour les clients PC ou Mac, tu ne peux pas utiliser le reverse proxy, il faut simplement utiliser le nom de domaine qui renvoie vers ton IP publique et ajouter le port (6690) à la suite.
Pour Active Backup for Business c'est la même chose. 🙂 

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Je mélange tout, cela fait longtemps que j'ai paramétré et je ne m"en souviens plus.

Il y a deux choses;

1/ Tu veux te connecter par drive sur ton NAS. Tu fais comme j'ai dit et tu arrives sur la page d'accueil de drive tu te connectes avec tes identifiants et tu accèdes à tes dossiers (ceux sur lesquels tu as des droits). Et ceci sans client.

2/ Le client c'est pour les synchronisations ou les sauvegardes et là tu fais comme a dit @.Shad.

Vraiment désolé du mélange 😕

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour à tous, j'ai été redirigé par @Jeff777 sur ce tuto suite à un problème d'accès à dsm via mon ndd (problème de résolution de ndd qui a sauté du jour au lendemain sans raison), suite à une longue discutions pour la résolution, il m'a conseillé de faire un reverse proxy.

J'ai donc lu le tuto en page 1 et une grosse partie du fil de réponse lié au tuto

J'ai trouvé génial le reverse proxy, m'évitant des redirection de port et ouverture du par feu. Je me suis donc appliqué à faire comme dans le tuto.

-> J'ai fait un premier reverse proxy pour mon drive et tout fonctionne, nickel en https.

-> Je me suis donc attelé à faire un reverse proxy pour l'accès à dsm en lan et par vpn (suite au problème de résolution de ndd), j'ai suivi le message de @_Megalegomane_

Le 29/10/2018 à 22:25, _Megalegomane_ a dit :

Si cela peut servir à d'autres, j'ai pu affiner un peu la sécurité pour chaque proxy inversé en ne donnant l'accès qu'à certaines IP ou plages IP.
Cela diffère du blocage des IP au niveau du pare-feu qui va s'applique sur un/des port(s) en particulier(s).
Là on va pouvoir affiner ce qu'on a pas pu faire par le pare-feu et gérer par proxy.

Pour moi, le but recherché était surtout de restreindre le plus possible l'accès à la partie DSM aux adresses LAN, VPN ou fixes (celle du boulot, d'un ami, etc...).

La manipulation est la suivante :

  • Créer un profil de contrôle d'accès :
    • Aller sur Panneau de configuration > Portail des applications
    • Sur l'onglet Profil de contrôle d'accès
    • Cliquer sur Créer
    • Dans la nouvelle fenêtre, cliquer Créer pour chaque adresse CIDR que vous souhaitez ajouter (voir ici si besoin d'infos)
      Par exemple pour n'autoriser que le LAN (je ne sais pas si le le 127.0.0.0/8 a vraiment une utilité) :
      capture_lan.png.5deadbdaa6c004b65629f77738b1cd78.png
      pour n'autoriser que le LAN et le VPN :
      capture_lan_vpn.png.4a8acf7c62965761d6918af8f4136cc3.png
       
  • Attribuer le profil de contrôle d'accès à la règle de proxy inversé :
    • Toujours sur Panneau de configuration > Portail des applications
    • Sur l'onglet Proxy inversé (fonctionne de même sur l'onglet application)
    • Sélectionner une de vos entrées proxy inversé puis cliquer le bouton Modifier
    • Cocher la case Activer le contrôle d'accès
    • Choisir le Profil de contrôle d'accès que vous souhaitez appliquer
    • Cliquer OK
      capture_proxy_inverse.png.d407c3cec99c79685def36cc2c3a9bea.png

 

Pensez bien à vérifier qu'en dehors des IP autorisés, vous tombez sur une erreur "page introuvable" :

navigateur_wan.png.71571fc16228b92aaf6d6bfd37db3ca1.png


(Ces manipulations ne dispensent pas des réglages pare-feu / blocage auto et autres manipulation à mettre en place pour sécuriser votre NAS)

 

J'ai paramétré le reverse proxy comme marqué ci dessus, ensuite pour le profil d'accès j'ai commencé par mettre seulement 10.0.0.0/8 et 192.168.1.0/16 et tous refuser (ce qui me semblait coller avec mes configs),

Mais ça ne marchait pas, je tombe sur la page synology page introuvable. J'ai donc ajouter toutes les règles qu'il a mis dans ces captures mais la non plus, ça n'a pas marché. J'ai ensuite enlever les slache mais ça n'a rien changé.

 

J'ai finit par faire ceci : en ajoutant mon ip publique

udeh.png

 

Là j'ai bien accès à dsm en local, et la page page synology introuvable en 4g. Mais ça ne me convient pas car mon ip publique change à chaque redémarrage de box. De même si je ne configure pas de paramètre d'accès ça fonctionne. Mais ça ne colle pas avec ce qu'il se trouve au dessus.

A noter: que je possède, une livebox orange fibre et un nom de domaine de chez synology. 

Mon ip publique change à chaque redémarrage de box, mais j'ai l'impression que change cela n'a pas d'impacte, car sur mon compte synology (ou se trouve mon ndd) l'ip se met automatiquement à jour) !

 

Quelque capture qui pourrait aider à la résolution du pb.

 

7mgb.png

 

u4en.png

1fq4.png

 

 

Merci d'avance pour vos réponses, le problème semble à99,99% venir du profil de contrôle d'accès, mais je ne vois pas comment faire, quelle règle manque t'il, car mettre mon ip publique n'est pas une solution viable.

Bonne soirée.

 

 

 

Modifié par KevM
Lien vers le commentaire
Partager sur d’autres sites

Bonjour[mention=76452]KevM[/mention]

 

De mémoire, les livebox avaient des soucis de loopback... Ça pourrait être une piste. Mais n'étant pas client Orange je ne saurais pas te renseigner.

 

De mon côté, j'ai mon propre nom de domaine et un DNS local. C'est peut-être ce dernier point qui fait la différence.

 

J'ai suivi le tuto de[mention=2222]Fenrir[/mention] (encore merci) pour avoir un DNS local :

https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/

 

Envoyé de mon ONEPLUS A5000 en utilisant Tapatalk

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,


Je viens de suivre le tuto que je trouve bien écrit et précis. Merci beaucoup !

J'ai un petit problème lors de la génération du certificat Let's Encrypt. J'obtiens l’erreur suivante : Échec de l'opération. Reconnectez-vous à DSM et réessayez.


Pour le contexte :

Je souhaite publier DSM et File Station sur Internet. Disons dsm.domaine.fr et file.domaine.fr.


Ce que j'ai fait :

Au niveau DNS

  • domaine.fr TYPE A mon IP publique
  • dsm.domaine.fr TYPE CNAME domaine.fr
  • file.domaine.fr TYPE CNAME domaine.fr

Au niveau du routeur

  • Redirection du port tcp/80 vers le port tcp/80 de mon NAS
  • Redirection du port tcp/443 vers le port tcp/443 de mon NAS

Au niveau du proxy inversé

  • Source : HTTPS : dsm.domaine.fr (tcp/443) / Destination : HTTP : localhost (tcp/5000)
  • Source : HTTPS : file.domaine.fr (tcp/443) / Destination : HTTP : localhost (tcp/7000)

 

Je retourne à la partie génération du certificat, j'indique les éléments suivants :

  • Nom de domaine : domaine.fr
  • Courrier électronique : adresse@domaine.fr
  • Autre nom de l'objet : dsm.domaine.fr;file.domaine.fr

 

Si quelqu'un a une idée, je suis preneur 🙂 ! Merci à vous.

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Thierry94 a dit :

Tu as l'air d'avoir fait tout ce qu'il fallait ! A tout hasard le port 80 est bien autorisé par ton firewall ?

Oui est attention aussi au règles de parfeu géographique !

Lien vers le commentaire
Partager sur d’autres sites

Attention je crois que les adresses IP de Let'sencrypt que nous avons l'habitude d'utiliser ne fonctionne plus.
Je les utilisais pour limiter le port 80 dans mon pare-feu pour le renouvellement, mais ce soir ça ne fonctionne plus (message erreur de connexion .. domaine invalide).
Pour que ça fonctionne j'ai du ouvrir le port 80 sans restriction … et là mon certificat a été renouvelé !

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je souhaiterais mettre en œuvre le reverse proxy pour l'accès imap à ma boite mail locale (Mail Serveur) …. est-ce possible ?
Si oui quel est le paramétrage à mettre en place dans le Reverse proxy, dans Mail Serveur et dans le client mail, pour y arriver ?
Tous mes essais de paramétrage dans ces 3 applications ont échoués jusqu'à maintenant 

Merci d'avance pour votre aide

Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, Thierry94 a dit :

Attention je crois que les adresses IP de Let'sencrypt que nous avons l'habitude d'utiliser ne fonctionne plus.

Je confirme. J'avais un problème de certificats qui ne se renouvelait pas alors que je n'avais rien modifié. Jusqu'ici, les adresses LE fonctionnaient, mais là, rien à faire. Ca fait quelques jours que je me bat sans comprendre la raison du refus. Et puis en ouvrant le port 80 sans restriction, mes certificats se sont renouvelés sans difficulté.

Ce comportement est récent car j'ai renouvelé d'autres certificats il y a moins d'un mois et c'était passé nickel avec les seules IP de LE.

C'est bien dommage car avec le 80 fermé, et à moins de connaître les nouvelles IP, il va falloir surveiller les dates de validité pour ne pas se retrouver sans certificat.

De toute manière, LE ne fournissent pas de liste d'IP et se donnent le droit d'en changer à tout moment. Finalement, les deux que nous utilisions auront duré pas mal d'années.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonsoir

J'ai mis en place un reverse proxy sur mon DS218+ii, qui fonctionne parfaitement pour dsm, file station, ... avec un certificat SSL Let's Encrypt (super tuto d'ailleurs, j'ai juste été embêté par la redirection automatique vers https qui était précédement mise en place)

Mon souci est lié à l'installation d'un serveur domotique hass.io sur le docker du syno. Pour faire au plus simple, j'ai réussi à installer home assistant sur docker yc hass.io, fonctionnel puisque pouvant commander une prise connectée. Je souhaite y accéder depuis l'extérieur, en passant du coup par le reverse proxy. Taper ha.ndd.fr me renvoie bien sur la page de log de hass, qui me prend bien le couple user/mdp, puis me renvoie une erreur "unable to connect". Nouvelle tentative : au lieu de passer par le reverse proxy, j'ai redirigé sur ma box le port 8123 vers HA ; en me connectant avec mon IP_Publique:8123, je réussis à me connecter sur la page HASS. Nota : ce dernier test ne se fait pas en https

Du coup j'ai un souci sur le reverse proxy (ce qui explique par ailleurs le manque d'erreur dans le journal d'HA), sauriez-vous d'où ça peut venir ?

Merci !

Modifié par Phenix21
Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, .Shad. a dit :

Une impression d'écran de l'entrée correspondante de ton proxy inversé ?

Salut 

Réponse trouvée via d'autres personnes (Turbo16 et Nuance @forum.hardware.fr) : il fallait rajouter les en-tête websocket dans la configuration du reverse proxy HA comme là

Croquis.png

Et ça fonctionne

Merci à tous !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.