[Tuto] Reverse Proxy

[Thierry94]

Dans ma configuration je n'ai que le port 443 ouvert sur ma box et redirigé vers la NAS.
J'ai mis en place le reverse proxy qui passe les requêtes de Https vers Http en local pour les applications gérées.
Par contre je voudrais pouvoir avoir l'accès photo station par photo.ndd.fr sans être obligé d'ajouter le /photo comme actuellement car si je ne le met pas dans la requête photo.ndd.fr arrive sur DSM.

De vos échange j'ai cru comprendre qu'il faut ajouter un fichier .htaccess est-ce cela ? dans ce cas je devrais je activer webstation ?

 

Modifié le 11 décembre 2020 par Thierry94

[Jeff777]

Bonjour @Thierry94

Si tu utilises les proxies inversés tu as activé Webstation non?

[Thierry94]

Non ca fonctionne sans Webstation

Pour info le websocket est à mettre en place pour Surveillance Station il n'est pas nécessaire pour Photo Station

Modifié le 11 décembre 2020 par Thierry94

[Jeff777]

Ah oui pardon. Pour .htaccess il le faudra oui. 

Autrement je me demande si un fichier php pour la redirection vers https avec la solution @oracle7 d'activer web socket dans le proxy photo peut fonctionner ?

Ah je n'avais pas vu ton edit. Oui effectivement je l'ai activé dans webstation

Modifié le 11 décembre 2020 par Jeff777

[Thierry94]

Citation

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$ https://photo.ndd.tld/photo [L,R=301]

Il suffit que je mette ce fichier tel quel ?
J'ai vu aussi qu'il fallait installer Apache pour pouvoir utiliser un fichier .htaccess ?

[Jeff777]

Oui c'est ce que j'ai. plus le reverse proxy https://photo.ndd.tld ==>http://iplocaldu nas

[fm76]

Bonjour,

je n'arrive pas à implémenter le ReverseProxy Synology correctement.

1) Zone DNS : ndd.com

video.ndd.com CNAME nas.ndd.com.

audio.ndd.com CNAME nas.ndd.com.

file.ndd.com CNAME nas.ndd.com.

nas.ndd.com utilise DynHost car @IP dynamique opérateur

 

2) Synology

Sur Portail des applications

Application:

Video Station : Activer un port https personnalisé / port wxy1

Audio Station : Activer un port https personnalisé / port wxy2

File Station : Activer un port https personnalisé / port wxy3

Proxy inversé:

Video : Source : HTTPS / video.ndd.com / 443  - Destination : HTTP / localhost / wxy1

Audio : Source : HTTPS / audio.ndd.com / 443  - Destination : HTTP / localhost / wxy2

File : Source : HTTPS / file.ndd.com / 443  - Destination : HTTP / localhost / wxy3

Résultats observés (depuis internet)

https://nas.ndd.com = OK (accueil DSM)

https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM)

https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station

https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station

https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station

Aucun problème de certfificat LetsEncrypt constaté.

Merci pour votre aide

Modifié le 13 décembre 2020 par fm76

[oracle7]

@fm76

Bonjour,

il y a 12 minutes, fm76 a dit :

Sur Portail des applications

Application:

Video Station : Activer un port https personnalisé / port wxy1

Audio Station : Activer un port https personnalisé / port wxy2

File Station : Activer un port https personnalisé / port wxy3

A ce niveau, ce sont les ports HTTP qu'il faut indiquer et non pas les ports HTTPS  vu que la connexion est déjà en HTTPS. Tu fais alors du https sur du https ce qui est contre productif cela conduit à du double chiffrement inutile.

il y a 12 minutes, fm76 a dit :

Proxy inversé:

Video : Source : HTTPS / video.ndd.com / 443  - Destination : HTTP / localhost / wxy1

Audio : Source : HTTPS / audio.ndd.com / 443  - Destination : HTTP / localhost / wxy2

File : Source : HTTPS / file.ndd.com / 443  - Destination : HTTP / localhost / wxy3

Si dans la partie Application les ports wxy1 et respectivement, wxy2 et wxy3 sont les même que dans la partie Reverse Proxy alors j'en déduit que ce sont des ports HTTPS et donc tu ne peux les utiliser dans le Reverse Proxy, pour la destination au localhost il faut associer le port http de l'application.

Cordialement

oracle7😉

Modifié le 13 décembre 2020 par oracle7

[fm76]

Bonjour oracle7.

merci pour ton aide.

Ah oui effectivement.

J'ai donc réalisé la configuration suivante sur Portail des applications

Application: -> utilisation des ports HTTP au lieu de HTTPS

Video Station : Activer un port personnalisé (HTTP) / port wxy1 / Se connecter http://nas.ndd.com:wxy1

Audio Station : Activer un port personnalisé (HTTP) / port wxy2 / Se connecter http://nas.ndd.com:wxy2

File Station : Activer un port personnalisé (HTTP) / port wxy3  / Se connecter http://nas.ndd.com:wxy3

 

Proxy inversé:

Video : Source : HTTPS / video.ndd.com / 443  - Port: Activer HTTP/2 - Destination : HTTP / localhost / wxy1

Audio : Source : HTTPS / audio.ndd.com / 443  - Port: Activer HTTP/2 - Destination : HTTP / localhost / wxy2

File : Source : HTTPS / file.ndd.com / 443 - Port: Activer HTTP/2  - Destination : HTTP / localhost / wxy3

Résultats observés (aucun changement par rapport à l'essai précédent depuis internet)

https://nas.ndd.com = OK (accueil DSM)

https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM)

https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station

https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station

https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station

Aucun problème de certfificat LetsEncrypt constaté.

Merci pour votre aide

Cordialement,

Modifié le 13 décembre 2020 par fm76

[oracle7]

@fm76

Bonjour,

Le port 443 est-il bien transféré (NAT/PAT) dans ta box vers le NAS ?

Le port 443 est-il bien ouvert/autorisé dans le pare-feu du NAS ?

Quand tu fais un ping nas.dd.tld est-ce que cela répond bien ?

Quand tu fais un nslookup nas.ndd.tld 1.1.1.1 ou nslookup nas.ndd.tld @IPBox est-ce que tu as bien ton @IP externe en retour ?

Cordialement

oracle7☹️

[Jeff777]

Bonjour @fm76

En plus des tests que demande @oracle7 deux constatations :

il y a une heure, fm76 a dit :

https://nas.ndd.com = OK (accueil DSM)

https://video.ndd.com = KO -> car affichage de la page https://nas.ndd.com (accueil DSM)

https://audio.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

https://file.ndd.com = KO -> car affichage de la page https://nas.ndd.com  (accueil DSM)

Si nas.ndd.com te donne l'accueil DSM c'est normal que video.ndd.com etc... te donnent le même résultat puisque tu les as défini en CNAME (alias)  de nas.ndd.com.

et ça c'est normal si tu as défini video etc... en alias dans le portail des applications. :

il y a une heure, fm76 a dit :

https://nas.ndd.com/video = OK : affichage de la page d'accueil Video Station

https://nas.ndd.com/audio = OK : affichage de la page d'accueil Audio Station

https://nas.ndd.com/file = OK : affichage de la page d'accueil File Station

A part cela je ne suis pas familier avec le Dynhost et je pose la question à @oracle7 . N''est-ce  pas ndd.com qu'il faut déclarer et non nas.ndd.com. Et dans la zone ne faut-il pas un ndd.com NS ns.ndd.com  (ns pour name serveur) et un ns.ndd.com A iplocaldunas

puis faire un reverse proxy avec le https://nas.ndd.com vers http://localhost:5000

 

Je suppose qu'il s'agit d'une zone privée.

 

 

 

Modifié le 13 décembre 2020 par Jeff777

[oracle7]

@Jeff777

Bonjour, 

Effectivement tu as raison idéalement il faudrait que le DDNS soit défini sur ndd.tld mais souvent il y a une confusion faite en renseignant le subdomain chez OVH. Les utilisateurs saisissent obligatoirement un subdomain dans le premier écran pour créer l'identifiant de gestion du DDNS. Ensuite ils se sentent obligés de saisir aussi ce subdomain dans second écran de saisie du domaine pour le DDNS final alors que le champ n'est pas obligatoire et qu'il peut rester vide pour ainsi avoir au final un DDNS défini sur ndd.tld seul. 

Cordialement 

oracle7😏

[Jeff777]

Ah OK. Mais dans le cas ou l'on définie nas.ndd.com en ddns, pour que les reverse proxies fonctionnent il faut mettre audio.nas.ndd.com    non?

[oracle7]

@Jeff777

Bonjour 

Oui absolument 

Cordialement 

oracle7 🙂

[Jeff777]

Bon @fm76 tu as tes réponses 🙂

[fm76]

Bonjour oracle7,

merci pour tes réponses.

 

1) Vérifications

Le port 443 est-il bien transféré (NAT/PAT) dans ta box vers le NAS ? - > OUI sur la SFR BOX le port 433 a une règle NAT sur @IP fixe du Synoloy

Le port 443 est-il bien ouvert/autorisé dans le pare-feu du NAS ? - > OUI : firewall OK sur (port 443 autorisé)

Quand tu fais un ping nas.dd.tld est-ce que cela répond bien ?- > OUI : depuis internet ping nas.ndd.com répond sur l'@ IP publique de la BOX

Quand tu fais un nslookup nas.ndd.tld 1.1.1.1 ou nslookup nas.ndd.tld @IPBox est-ce que tu as bien ton @IP externe en retour ? > OUI : depuis internet nslookup nas.ndd.com affiche une résolution sur @IP publique de la BOX (serveur ne faisant pas autorité) + idem pour nslookup nas.ndd.com @IP publique BOX

 

2) Création CNAME dans zone DNS OVH

audio.nas.ndd.com CNAME nas.ndd.com.

video.nas.ndd.com CNAME nas.ndd.com.

file.nas.ndd.com CNAME nas.ndd.com.

J'ai un Warning à la création si je ne mets pas le point à la fin

J'ai essayé sans mettre le point final, alors les CNAME sont créés de la manière suivante:

audio.nas.ndd.com.ndd.com CNAME nas.ndd.com

video.nas.ndd.com.ndd.com CNAME nas.ndd.com

file.nas.ndd.com.ndd.com CNAME nas.ndd.com

 

@Jeff777

Effectivement dans le TUTO, il est indiqué de réaliser le CNAME sur ndd.com plutôt que nas.ndd.com

Le problème est que dans ma zone DNS ndd.com, j'ai plusieurs hôtes qui sont situés dans différents lieux physiques et utilise différentes BOX (ou @IP publique) + site hébergé chez OVH www.ndd.com

Sans doute, il faut que je créé plusieurs zones DNS ou alors si cela est possible un sous domaine synology.ndd.com

Merci pour tes conseils 

 

Cordialement,

fm76

 

[Jeff777]

Si tu as plusieurs domaines ils ont forcément des noms différents ndd1.com ndd2.com etc...

Quand tu parles de zone DNS ndd.com c'est ta zone privée, publique, sur ton NAS, chez OVH ?

 

[oracle7]

@fm76

Bonjour,

Il y a 2 heures, fm76 a dit :

file.nas.ndd.com CNAME nas.ndd.com.

J'ai un Warning à la création si je ne mets pas le point à la fin

Oui il faut mettre le " . " à la fin sinon comme tu l'as constaté les CNAME ne sont pas bien constitués. Ils doivent être comme cela dans la zone DNS OVH :

Citation

audio.nas.ndd.com CNAME nas.ndd.com.

video.nas.ndd.com CNAME nas.ndd.com.

file.nas.ndd.com CNAME nas.ndd.com.

 

Si ton DDNS est "nas.ndd.com" et qu'il pointe bien sur ton @IP externe (box) alors dans le reverse proxy tes redirections doivent être du type (pour reprendre ta notation) :

Video : Source : HTTPS / video.nas.ndd.com / 443  - Destination : HTTP / localhost / wxy1

Audio : Source : HTTPS / audio.nas.ndd.com / 443  - Destination : HTTP / localhost / wxy2

File : Source : HTTPS / file.nas.ndd.com / 443  - Destination : HTTP / localhost / wxy3

Et là, cela devrait le faire ...

Cordialement

oracle7😉

[Jeff777]

Sûr que ça le fait mais je trouve ça un peu long 🙄 ....mais bon. 

[oracle7]

@Jeff777

Bonjour,

Tout à fait d'accord avec toi mais c'est la stricte conséquence d'une définition du DDNS faite "en diagonale" si je puis dire. Même si elle n'est pas fausse en soit, elle engendre simplement cette contrainte de longueur de saisie.

Cordialement

oracle7😉

[Drickce Kangel]

Hello, 

Je glisse ma question ici 🙂 

Pourquoi j'accède à mes services (moments, drive, etc) via internet sans VPN? 

J'aurai préféré n'avoir accès à mes services QUE par le VPN. 

Vous savez comment faire?

Merci pour votre aide,

[.Shad.]

@Drickce Kangel

Tu dois utiliser la fonction Profil de contrôle d'accès intégré à DSM, en définissant les règles qui régissent ce contrôle d'accès, dans ton cas par exemple :

Tu peux être plus granulaire en modifiant ce qu'il y a après le /, qui correspond au masque de sous-réseau (cette notation est appelée CIDR).

Si par exemple tu ne veux autoriser que les IP 192.168.50.1 à 192.168.50.254, tu écriras 192.168.50.0/24 ou 192.168.50.0/255.255.255.0, c'est équivalent.

Si ton serveur VPN est en 10.8.0.1 (OpenVPN sur DSM), tu peux mettre 10.8.0.0/24.

Puis penser à refuser tout le reste 🙂 mais seulement en fin de liste, c'est résolu séquentiellement donc comme pour le pare-feu, si tu mets ça en début de liste, tu te bloques.

Une fois le profil défini, il faut l'utiliser dans une règle de proxy inversé :

Tu valides et normalement c'est bon. Ici tu n'auras accès à DSM que si ta connexion prend son origine sur le LAN ou le VPN, depuis l'extérieur tu auras un message comme quoi la ressource n'est pas accessible.

Modifié le 15 décembre 2020 par .Shad.

[Drickce Kangel]

il y a une heure, .Shad. a dit :

@Drickce Kangel

Tu dois utiliser la fonction Profil de contrôle d'accès intégré à DSM, en définissant les règles qui régissent ce contrôle d'accès, dans ton cas par exemple :

Tu peux être plus granulaire en modifiant ce qu'il y a après le /, qui correspond au masque de sous-réseau (cette notation est appelée CIDR).

Si par exemple tu ne veux autoriser que les IP 192.168.50.1 à 192.168.50.254, tu écriras 192.168.50.0/24 ou 192.168.50.0/255.255.255.0, c'est équivalent.

Si ton serveur VPN est en 10.8.0.1 (OpenVPN sur DSM), tu peux mettre 10.8.0.0/24.

Puis penser à refuser tout le reste 🙂 mais seulement en fin de liste, c'est résolu séquentiellement donc comme pour le pare-feu, si tu mets ça en début de liste, tu te bloques.

Une fois le profil défini, il faut l'utiliser dans une règle de proxy inversé :

Tu valides et normalement c'est bon. Ici tu n'auras accès à DSM que si ta connexion prend son origine sur le LAN ou le VPN, depuis l'extérieur tu auras un message comme quoi la ressource n'est pas accessible.

Honnêtement, un très grand merci @.Shad., je cherchais désespérément comment faire cette manipulation.

Maintenant, je peux officiellement dire que mon NAS est maintenant configuré:

• Tuto Test des disques appliqué (j'ai renvoyé 2 disques grâce à ce tuto)
• Tuto Sécurité appliqué
• Tuto VPN appliqué (j'ai choisi L2TP/IPSec)
• Tuto Reverse Proxy appliqué

 

J'ai testé le Tuto DNS, mais je me suis locké hors de mon NAS 😅, j'ai dû réinitialise DSM....et comme ça montre que je ne maitrise pas, je préfère continuer à apprendre 😋

Prochaine étape, je vais faire le tuto anti pub et j'avoue, j'aimerai bien faire le tuto Docker...mais ça m'a l'air niveau 2...

En tout cas, merci encore, super communauté. 

 

[.Shad.]

@Drickce Kangel

Comme répondu il y a quelques minutes sur le tutoriel en question, c'est un tutoriel important, avec beaucoup de notions, mais extrêmement intéressant, il te faudra d'autres sources d'informations par contre. Le tutoriel a l'inconvénient que tout étant sur le NAS (proxy inversé, DNS local, applications, ...) on ne distingue pas facilement vers quoi on fait pointer des noms de domaine pour telle ou telle fonctionnalité vu que tout pointe sur la même IP. 😞 

Donc te renseigner par ailleurs peut-être intéressant pour avoir un point de comparaison. 😉 

Docker tu as franchement le temps 😄 je te conseille de mûrir un peu le reste sinon tu risques d'être submergé.

[Diabolomagic]

Bonjour, je suis désolé si cela à déjà été mentionné mais je n'ai pas trouvé de fonction "rechercher" uniquement dans ce tutoriel.

Je me lance, je ne possède aucun ndd, j'utilise une adresse du type  https://***.synology.me/

avec un réadressage de port sur mon routeur pour router le port 443 vers le NAS.

Cela fonctionne trés bien pour photo station. Je souhaite à présent pouvoir me rendre sur download station de la même façon. Hors dite moi si je me trompe mais je ne peux pas rajouter quoi que ce soit à mon adresse https://***.synology.me dans ce style ---> https://download.***.synology.me

Chrome me mets l'erreur "too many redirect"

Je ne comprend pas comment m'y prendre ? Cela est il possible sans louer un ndd payant ?

Merci à celui qui pourra m'éclairer car là je suis dans le brouillard total !

Modifié le 15 décembre 2020 par Diabolomagic