[Tuto] Reverse Proxy

[Kuchi69]

Bonjour à tous,

Tout d'abord, je tiens à remercier toutes les personnes ayants contribués aux tutos du post qui est très explicite.
Malheureusement pour moi, ça ne marche pas à la fin 😅

Je possède un ndd.com chez OVH donc plutôt pratique vu que le tuto est orienté via cet hébergeur de domaine.

Mon souhait est je pense plutôt standard, je souhaite avoir des urls spécifiques à mes applications tel que files station, Drive, Download station etc....Via des urls de types https://drive.ndd.com

J'ai suivi tout le tuto et dans la finalité, quand je test les liens en local et à distance, j'ai l'erreur "ERR_TOO_MANY_REDIRECTS"

Par ailleurs, j'ai décoché "Activer un domaine personnalisé" mais impossible de me connecter au DSM depuis l'extérieur via IP publique+port http DMS configuré, la page se charge indéfiniment avec une erreur "ERR_CONNECTION_ABORTED". En local, c'est pas mieux, j'ai l'erreur "ERR_CONNECTION_TIMED_OUT"

 

Merci de votre aide pour mettre au norme la configuration 🙂 

Si une âme charitable a un peu de temps devant lui, nous pouvons passer en revue ma configuration ensemble via discord afin d'être efficace 

[.Shad.]

Est-ce que tu as décoché la case :

[Kuchi69]

Merci @.Shad. pour ton retour, ce n'était pas décoché.

Je viens de le faire et en local, ça marche divinement bien pour mes applis 😁

En revanche, via mon réseau mobile donc réseau web, j'ai une erreur de certificat "NET::ERR_CERT_COMMON_NAME_INVALID" ? 

 

Concernant l'accès DSM direct, toujours la même erreur en local/externe

Modifié le 17 mai 2021 par Kuchi69

[.Shad.]

il y a 24 minutes, Kuchi69 a dit :

Par ailleurs, j'ai décoché "Activer un domaine personnalisé" mais impossible de me connecter au DSM depuis l'extérieur via IP publique+port http DMS configuré

Il ne faut pas activer le domaine personnalisé pour DSM, juste créer une entrée pointant vers DSM dans le proxy inversé :

https://dsm.ndd.com -> http://localhost:5000

Pour l'erreur de certificat, est-ce que dans Panneau de configuration -> Sécurité -> Certificats -> Configurer, tu as bien les différents services associés au bon certificat ?

[Kuchi69]

Ah, j'avais pas compris qu'il fallait créer un pointage via le proxy inversé pour le DSM. Je viens de le créer et maintenant, je tombe sur une page d'erreur de certificat.

Pourtant, j'ai mis le certificat installé via le tuto en certificat par défaut et quand je vais dans configurer, je vois bien toutes les urls, ainsi que celui de DSM qui pointe sur mon certificat.

Je ne dois pas faire un renouvellement de certificat en indiquant dans "autre" toute la liste des urls liés à mes services ?

[Diabolomagic]

@Kuchi69C'est peut-être une erreur du au cache du navigateur.

Si tu utilises Firefox, aller dans l'historique faire un clic droit et faire oublier.

Si tu utilises Chrome, vider le cache dans les parametres de maniere tout a fait classique.

[Kuchi69]

il y a 8 minutes, Kuchi69 a dit :

Ah, j'avais pas compris qu'il fallait créer un pointage via le proxy inversé pour le DSM. Je viens de le créer et maintenant, je tombe sur une page d'erreur de certificat.

Pourtant, j'ai mis le certificat installé via le tuto en certificat par défaut et quand je vais dans configurer, je vois bien toutes les urls, ainsi que celui de DSM qui pointe sur mon certificat.

Je ne dois pas faire un renouvellement de certificat en indiquant dans "autre" toute la liste des urls liés à mes services ?

On avance, j'ai demandé la création d'un nouveau certificat remplaçant l'ancien en y ajoutant toutes les urls.
Du coup, DSM fonctionne bien en local via https://dms.ndd.com et c'est également le cas des autres applications.

En réseau externe, j'ai toujours l'erreur de certificat "NET::ERR_CERT_COMMON_NAME_INVALID", j'ai le choix via l'appli google chrome d'afficher les paramètres avancés et de faire continuer sur le site dangereux.

[Diabolomagic]

Si tu jettes un œil en détail au certificat, sagit il bien du dernier créé ?

[Kuchi69]

il y a 1 minute, Diabolomagic a dit :

Si tu jettes un œil en détail au certificat, sagit il bien du dernier créé ?

Ah, intéressant, j'avais pas fait attention dans le paragraphe d'info mais il est indiqué que mon certificat vient du domaine mabbox.bytel.fr ?? Cela semble être lié à ma box Bouygues...C'est pas normal ça non ?

[Diabolomagic]

il y a 5 minutes, Diabolomagic a dit :

@Kuchi69C'est peut-être une erreur du au cache du navigateur.

Si tu utilises Firefox, aller dans l'historique faire un clic droit et faire oublier.

Si tu utilises Chrome, vider le cache dans les parametres de maniere tout a fait classique.

tu as vidé le cache ?

[Kuchi69]

il y a 1 minute, Diabolomagic a dit :

tu as vidé le cache ?

Oui, j'ai vidé le cache des dernières 24h mais je vais tester avec le tel de madame pour voir.

Modifié le 17 mai 2021 par Kuchi69

[MilesTEG1]

Juste une petite appartée concernant l'ouverture de DSM via le reverse-proxy : il y a pas mal d'attaque en ce moment via les ports 80 et 443 (j'ai pu le constater avec mon routeur synology et son paquet Threat Prevention), donc faut bien blinder le parefeu du NAS, voir ne pas ouvrir DSM au net via le reverse proxy, mais plutôt mettre en place le serveur VPN du NAS pour se connecter à distance à DSM.
C'est ce qui m'a été fortement conseillé, et que j'ai finalement accepter de faire (pas pour le VPN qui était déjà mis en place), mais renoncer à l'accès facile à DSM via le net.

Après chacun voit ce qu'il veut faire, doit impérativement avoir et quels compromis peuvent être fait ^^

[Kuchi69]

il y a 4 minutes, MilesTEG1 a dit :

Juste une petite appartée concernant l'ouverture de DSM via le reverse-proxy : il y a pas mal d'attaque en ce moment via les ports 80 et 443 (j'ai pu le constater avec mon routeur synology et son paquet Threat Prevention), donc faut bien blinder le parefeu du NAS, voir ne pas ouvrir DSM au net via le reverse proxy, mais plutôt mettre en place le serveur VPN du NAS pour se connecter à distance à DSM.
C'est ce qui m'a été fortement conseillé, et que j'ai finalement accepter de faire (pas pour le VPN qui était déjà mis en place), mais renoncer à l'accès facile à DSM via le net.

Après chacun voit ce qu'il veut faire, doit impérativement avoir et quels compromis peuvent être fait ^^

Merci beaucoup pour l'info, je vais effectivement laisser tomber l'ouverture sur le net je pense vu les rares utilisations que j'en fais.
Je vais en revanche voir pour mettre en place la connexion à distance via le serveur VPN si jamais j'ai vraiment besoin d'y accéder.
As-tu un tuto par hasard que tu as suivi pour la mise en place du VPN du NAS ?

 

il y a 5 minutes, Kuchi69 a dit :

Oui, j'ai vidé le cache des dernières 24h mais je vais tester avec le tel de madame pour voir.

Pour en revenir à mon problème, j'ai essayé avec le téléphone de Madame, même erreur "Votre connexion n'est pas privée" avec l'erreur "NET::ERR_*CERT_COMMON_NAME_INVALID" et quand je demandes plus de détails :

Impossible de vérifier sur le serveur qu'il s'agit bien du domaine drive.ndd.com, car son certificat de sécurité provient du domaine mabbox.bytel.fr. Cela peut être dû à une mauvaise configuration ou bien à l'interception de votre connexion par un pirate informatique.

 

Modifié le 17 mai 2021 par Kuchi69

[MilesTEG1]

il y a 2 minutes, Kuchi69 a dit :

As-tu un tuto par hasard que tu as suivi pour la mise en place du VPN du NAS ?

J'irais pas jusqu'à dire qu'il y a tout sur ce forum, mais pas loin 😄

 

 

Modifié le 17 mai 2021 par MilesTEG1

[.Shad.]

@Kuchi69 Deux choses à vérifier :

- Que ta box transfère bien les ports 443 et 80 vers ton NAS
- Que l'interface de ta box n'émette pas sur le port 443, c'est pas impossible qu'elle le fasse et du coup elle balance la redirection à la poubelle, sans t'en avertir. Tu as peut-être un réglage dans la box pour modifier le port de son interface.

[Diabolomagic]

il y a 11 minutes, MilesTEG1 a dit :

voir ne pas ouvrir DSM au net via le reverse proxy, mais plutôt mettre en place le serveur VPN du NAS pour se connecter à distance à DSM.
C'est ce qui m'a été fortement conseillé, et que j'ai finalement accepter de faire (pas pour le VPN qui était déjà mis en place), mais renoncer à l'accès facile à DSM via le net.

C'est toi qui me fait peur là ! Tu prends ta revanche ? 😅

Bon avec du 2FA + blocage du compte au bout de 2 tentatives sur 1 minute pour 30 jours, je balise modérément. 🤞

Modifié le 17 mai 2021 par Diabolomagic

[Kuchi69]

il y a 8 minutes, MilesTEG1 a dit :

J'irais pas jusqu'à dire qu'il y a tout sur ce forum, mais pas loin 😄

 

 

Merci 😁

 

il y a 8 minutes, .Shad. a dit :

@Kuchi69 Deux choses à vérifier :

- Que ta box transfère bien les ports 443 et 80 vers ton NAS
- Que l'interface de ta box n'émette pas sur le port 443, c'est pas impossible qu'elle le fasse et du coup elle balance la redirection à la poubelle, sans t'en avertir. Tu as peut-être un réglage dans la box pour modifier le port de son interface.

J'ai revérifier et j'ai bien les ouvertures 443 box vers NAS et pareil pour 80.

Par contre, pour ton 2éme point, je sais pas comment voir ça :-s

[MilesTEG1]

il y a 2 minutes, Diabolomagic a dit :

Bon avec du 2FA + blocage du compte au bout de 2 tentatives sur 1 minute pour 30 jours, je balise modérément. 🤞

Oui c'est sur que ça aide à rester tranquille 😄 
Cela dit, quand on m'a conseillé fortement cette stratégie, j'ai réfléchi sur : est-ce que j'ai réellement besoin d'un accès permanent via le NET et le nom de domaine à DSM ?
Et en y réfléchissant attentivement, je me suis rendu compte que ce n'était pas le cas. Et que quand j'ai besoin d'accéder à DSM à distance, je peux le faire depuis le serveur VPN du routeur 😄 

 

[Juan luis]

il y a 18 minutes, MilesTEG1 a dit :

Juste une petite appartée concernant l'ouverture de DSM via le reverse-proxy : il y a pas mal d'attaque en ce moment via les ports 80 et 443 (j'ai pu le constater avec mon routeur synology et son paquet Threat Prevention), donc faut bien blinder le parefeu du NAS, voir ne pas ouvrir DSM au net via le reverse proxy, mais plutôt mettre en place le serveur VPN du NAS pour se connecter à distance à DSM.
C'est ce qui m'a été fortement conseillé, et que j'ai finalement accepter de faire (pas pour le VPN qui était déjà mis en place), mais renoncer à l'accès facile à DSM via le net.

Après chacun voit ce qu'il veut faire, doit impérativement avoir et quels compromis peuvent être fait ^^

Bonjour,

Les ports utilisés par le VPN sont aussi attaqués🥴 Il faut également bien filtrer les pays autorisés. La fédération de Russie et les états unis  bloqués, ça va tout de suite mieux.

[.Shad.]

@Kuchi69 Je ne connais pas cette box, va falloir fouiller, ce n'est peut-être juste pas possible, je ne sais pas.
En revanche tu peux faire un test très simple pour vérifier si c'est bien ça qui bloque.

- Tu rediriges non plus 443 vers 443 mais 9443 vers 443.
- En 4G, tu tapes dans ton navigateur https://xxx.ndd.com:9443

xxx étant un sous-domaine que tu as déjà défini dans le proxy inversé. Si ça fonctionne c'est que c'est bien ta box qui émet sur le port 443 et qui l'empêche de translater le port. Si pas, il faudra explorer d'autres pistes, mais ça me semble être la plus probable.

Modifié le 17 mai 2021 par .Shad.

[Kuchi69]

il y a 12 minutes, .Shad. a dit :

@Kuchi69 Je ne connais pas cette box, va falloir fouiller, ce n'est peut-être juste pas possible, je ne sais pas.
En revanche tu peux faire un test très simple pour vérifier si c'est bien ça qui bloque.

- Tu rediriges non plus 443 vers 443 mais 9443 vers 443.
- En 4G, tu tapes dans ton navigateur https://xxx.ndd.com:9443

xxx étant un sous-domaine que tu as déjà défini dans le proxy inversé. Si ça fonctionne c'est que c'est bien ta box qui émet sur le port 443 et qui l'empêche de translater le port. Si pas, il faudra explorer d'autres pistes, mais ça me semble être la plus probable.

  

il y a 26 minutes, .Shad. a dit :

@Kuchi69 Deux choses à vérifier :

- Que ta box transfère bien les ports 443 et 80 vers ton NAS
- Que l'interface de ta box n'émette pas sur le port 443, c'est pas impossible qu'elle le fasse et du coup elle balance la redirection à la poubelle, sans t'en avertir. Tu as peut-être un réglage dans la box pour modifier le port de son interface.

Bon bah c'est bien le 2éme point qui pose problème, je viens de trouver cette info sur internet :

Bouygues Telecom semble passer l'interface d'administration de sa Bbox en https. Ca serait le premier FAI à faire du https par défaut sur l'interface de sa box.
Pour administrer sa Bbox, il ne faut plus aller sur http://192.168.1.254 , celle ce n’hébergeant plus l'interface, mais un simple renvoi vers https://mabbox.bytel.fr/ la nouvelle url pour administrer la Bbox.

 

J'ai donc désactivé pour le moment l'accès à distance de la Bbox, à savoir qu'on peut définir le port (qui est bien sûr 443 par défaut) et magie, ça marche 🤩

Je vais tester un peu mes différents liens pour voir si j'ai pas de soucis.

 

Il me restait deux questions:

- 1 :  si je souhaite donner des liens de partages généré dans File Station, je viens de faire un test et j'ai l'url suivante : http://files.ndd.com:12500/sharing/XXXXXXX

Le port est-il obligatoire après le ndd.com ? Si non, comment je peux forcer l'application à ne pas me générer un lien partagé avec le port dedans ?

Edit : je viens de faire un test, le lien le fonctionne même pas si je laisse le port 🤔

- 2 : A quoi sert le paramétrage dans Accès externe>Avancé ?

 

Merci encore pour votre aide 😁

Modifié le 17 mai 2021 par Kuchi69

[Kuchi69]

il y a 48 minutes, Juan luis a dit :

Bonjour,

Les ports utilisés par le VPN sont aussi attaqués🥴 Il faut également bien filtrer les pays autorisés. La fédération de Russie et les états unis  bloqués, ça va tout de suite mieux.

Dans le tuto, il est indiqué d'ouvrir le port 80 vers les états-unis pour le certificat Let's Encryption, du coup, si ça marche, on peut supprimer cette règle ? 😅 Car j'ai cru lire que ça pouvait poser problème lors de renouvellement

[Juan luis]

il y a 5 minutes, Kuchi69 a dit :

Dans le tuto, il est indiqué d'ouvrir le port 80 vers les états-unis pour le certificat Let's Encryption, du coup, si ça marche, on peut supprimer cette règle ? 😅 Car j'ai cru lire que ça pouvait poser problème lors de renouvellement

Je faisais référence au connexions entrantes , il ne faut, bien sûr,  pas bloquer le trafic vers les états unis, et même tout trafic sortant.

[Mic13710]

On n'ouvre le port 80 que le temps du renouvellement. Le reste du temps on dévalide la règle.

Ceci dit, il y a des méthodes mieux adaptées pour les certificats via ssh ou via docker qui ne nécessitent pas d'ouverture de port. Voir dans la section des tutos.

[.Shad.]

il y a 57 minutes, Kuchi69 a dit :

J'ai donc désactivé pour le moment l'accès à distance de la Bbox, à savoir qu'on peut définir le port (qui est bien sûr 443 par défaut) et magie, ça marche 🤩

Si tu peux le déplacer sur un autre port c'est tout aussi bien. Si pas, il faudra alors envisager que ton proxy inversé écoute sur un autre port, par exemple 9443. Tu gardes l'avantage du proxy inversé d'exposer la grande majorité de tes applications sur un unique port, mais tu perds l'avantage du port 443 dans le sens où là tu devras taper systématiquement 9443 dans ton URL.

il y a une heure, Kuchi69 a dit :

- 1 :  si je souhaite donner des liens de partages généré dans File Station, je viens de faire un test et j'ai l'url suivante : http://files.ndd.com:12500/sharing/XXXXXXX

Le système de création de liens de partage n'est pas très adapté avec l'utilisation d'un proxy inversé (pourtant fonctionnalité proposée par DSM nativement). Tu dois juste utiliser l'URL avec laquelle tu te connectes, donc https://files.ndd.com/sharing/...

il y a une heure, Kuchi69 a dit :

- 2 : A quoi sert le paramétrage dans Accès externe>Avancé ?

Ca sert justement à créer une URL de partage, mais elle sera commune à tous les services, donc si tu y mets files.ndd.com / 80 / 443 (dans les trois champs disponibles) et que tu es connecté sur Filestation, tu vas générer un lien de la forme vue précédemment, ce sera également le cas si tu partages via Moments, DSM, etc... on voit très vite la limitation.

Pour moi c'est un gros point noir de DSM, qui ne sera pas corrigé aux dernières nouvelles à la sortie de DSM 7.