Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

il y a 12 minutes, Fab221 a dit :

Par contre, la ligne 10.0 et celle en-dessous en 172.16 c'est pour une connexion via VPN non ? Il me semble avoir vu ça sur le tuto dédié.

Oui, en général. Mais tu peux les laisser ça ne risque rien on va dire sauf si tu es un psychopathe 😄

Lien vers le commentaire
Partager sur d’autres sites

Oui probablement mais avant je voudrais que la base fonctionne correctement et lorsque je lis le tuto d' @oracle7 bahh je me dis que c'est pas gagné du tout 😂 

 

Bon, je viens de virer les DNS indiqués sur l'interface OVH pour ne laisser que

  • lendd.com   A     IP Publique
  • www.lendd.com   A   IP Publique
  • *.lendd.com  CNAME   lendd.com

Résultat à minuit 🙄

 

 

Modifié par Fab221
Lien vers le commentaire
Partager sur d’autres sites

@Fab221

Bonjour,

il y a 41 minutes, Fab221 a dit :

www.lendd.com   A   IP Publique

Cette ligne est à supprimer, elle est redondante de " *.lendd.com  CNAME   lendd.com "

Au fait, ton @IP publique est fixe ou dynamique ?

Si et seulement si elle est dynamique alors la ligne " lendd.com   A     IP Publique " est à supprimer aussi et dans ce cas il faut que tu ais définit chez OVH un DynHost avec ton domaine "lendd.com" qui pointe sur ton @IP publique.

En plus dans DSM il te faudra aussi configurer le DDNS pour que ton NAS transmette automatiquement à OVH ta nouvelle @IP externe publique lorsqu'il (ton NAS) verra que celle-ci à changé.

il y a 49 minutes, Fab221 a dit :

je viens de virer les DNS indiqués sur l'interface OVH

Qu'est-ce que tu entends par les "DNS indiqués" ?

J'espère que tu sais ce que tu fait au niveau de la zone DNS chez OVH sinon je crains que tu ne t'exposes à des déconvenues. Maintenant ce que j'en dis ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, oracle7 a dit :

Cette ligne est à supprimer, elle est redondante de " *.lendd.com  CNAME   lendd.com "

Au fait, ton @IP publique est fixe ou dynamique ?

Qu'est-ce que tu entends par les "DNS indiqués" ?

 

@oracle7 oui je suis en IP fixe 🙂

Par contre, concernant le www.lendd.com  A  IP publique, je me posais justement la question...

A savoir que le certificat actuel est pour www.lendd.com et non pour ndd.com... Je pense que cela peut poser problème et qu'il faut que je redemande un certificat pour ndd.com à la place.

Concernant les DNS chez OVH je n'avais laissé que les NS qui pointent sur leurs serveur 🙂 et à présent j'ai en plus:

  • lendd.com   A     IP Publique
  • *.lendd.com  CNAME   lendd.com

Car si je ne dis pas de bêtises, il me semble que le www est considéré comme un sous domaine.

Je vais essayer de suite de supprimer le certificat sur le NAS pour le remplacer par un ndd.com

Lien vers le commentaire
Partager sur d’autres sites

@Fab221

Bonjour,

il y a 53 minutes, Fab221 a dit :

il faut que je redemande un certificat pour ndd.com à la place.

OUI absolument et n'oublies le wilcard *.ndd.com avec.

 

il y a 53 minutes, Fab221 a dit :

www est considéré comme un sous domaine.

OUI

il y a 53 minutes, Fab221 a dit :

Je vais essayer de suite de supprimer le certificat sur le NAS pour le remplacer par un ndd.com

Tu crées carrément un nouveau certificat LE. Regardes et suis mon TUTO en étant très méthodique et attentif.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, oracle7 a dit :

@Fab221

Bonjour,

OUI absolument et n'oublies le wilcard *.ndd.com avec.

 

OUI

Tu crées carrément un nouveau certificat LE. Regardes et suis mon TUTO en étant très méthodique et attentif.

Cordialement

oracle7😉

@oracle7 Je viens de supprimer l'ancien certificat pour www.lendd.com et d'en créer un pour ndd.com, concernant le wilcard, je pense que j'ai fais une boulette... j'ai laissé faire let's encrypt qui m'a tout seul comme un grand généré un truc du genre

Emis pour: lendd.com

Emis par: R3

Pour: FTPS, Réception des journaux, synology drive server, vpn server, lelienpourlenas.lendd.com, lelienpourphotos.lendd.com, surveillancestation - leporthttps, synologyphotos - leporthttps, paramètres système par défaut,

Je viens de faire un test depuis une autre bécane branchée sur un deuxième abo fibre et si je vais sur lelienpourphotos.lendd.com avec Firefox j'ai un message qui me dit ça:

Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour lelienpourphotos.lendd.com. Le certificat n’est valide que pour lendd.com.

Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN

 

Si je vais sur whatsmydns.net et que je regarde pour lelienpourphotos.lendd.com il pointe bien sur mon IP publique... 🤢

Concernant ton tuto, oui je suis passé dessus mais il faut reconnaitre que pour un néophyte… C'est pas évident du tout 🙂

Edit

je viens de tester un truc... le tout en passant par l'autre bécane qui n'est pas sur le même réseau

  • Si je fais lelienpourphotos.lendd.com j'ai le message indiqué au dessus concernant un souci avec le certificat
  • Si je fais lendd.com/lelienpourphotos c'est OK ça passe !

Donc naivement je teste...

  • lelienversdsm.lendd.com j'ai le message indiqué au dessus concernant un souci avec le certificat
  • lendd.com/lelienversdsm  j'ai une 404

😅

Edit2

Tout semble OK (😊), et cette fois les URL passent "dans le bon sens" c'est à dire:

  • lelienpourphotos.lendd.com
  • lelienversdsm.lendd.com
  • lelienversdrive.lendd.com
  • lelienverssurveillance
  • etc, etc...

Par contre, si je tape http://lendd.com cela ne me redirige pas vers htpps://lendd.com peut-être que c'est normal ?

voilà le .htaccess indiqué

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

L'une de mes boulettes venait de la génération du certificat let's encrypt !! En effet il ne faut pas le laisser tout gérer mais ajouter manuellement dans "autre nom de l'objet" les sous domaines souhaités; puis aller ensuite sur le certificat dans "paramètres" puis "avancé" et sélectionnez votre nouveau certificat pour vos sous domaines.

Et comme tout est OK avec le domaine j'ai aussi réussi à configurer ma Yubikey qui semble pour le moment ne fonctionne que pour l'interface DSM et non pour surveillance, photos ou autres..

Bon, maintenant... @GrOoT64 avait raison, je vais essayer de comprendre comment mettre en place un VPN ^^

Merci à tous pour votre aide précieuse !!!

A suivre 🙂

Modifié par Fab221
ajout
Lien vers le commentaire
Partager sur d’autres sites

@Fab221

Bonjour,

Eh c'est très bien si ce la marche, tu y est arrivé c'est le principal ! 😀

Il y a 13 heures, Fab221 a dit :

En effet il ne faut pas le laisser tout gérer mais ajouter manuellement dans "autre nom de l'objet" les sous domaines souhaités

J'attire ton attention sur le fait qu'en créant le certificat LE  via DSM, tu ne pourras pas ajouter autant de "sous-domaines" dans "Autre noms de l'objet" que tu le souhaites. En effet, Synology limite la longueur de la chaine en question à 255 caractères. De plus avec cette méthode, Synology n'autorise pas la création de wilcard qui solutionnerai ce problème de limitation. C'est pour cela que je t'avais invité à passer par mon TUTO pour s'affranchir de cela.

Mais si cela te suffit comme çà, alors continues ainsi.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7

Il y a 3 heures, oracle7 a dit :

J'attire ton attention sur le fait qu'en créant le certificat LE  via DSM, tu ne pourras pas ajouter autant de "sous-domaines" dans "Autre noms de l'objet" que tu le souhaites.

Oui j'avais déjà lu ça en effet 🙂 

Il y a 3 heures, oracle7 a dit :

C'est pour cela que je t'avais invité à passer par mon TUTO pour s'affranchir de cela.

Comme indiqué plus haut, il faut déjà maitriser un minimum Putty et pour le moment j'en suis à apt-get update 🙃

Mais je suis persuadé que je vais essayer tout de même d'y passer un peu de temps en plus pour essayer de comprendre cela.

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour à tous,
Petite question du jour :

Quelqu'un peut m'expliquer ça ?


image.png.7297110092b4eaa8ca25aba0f99d42a2.png

Merci.

EDIT : 
J'ai installé dernièrement le paquet "TAILSCALE" qui permet de joindre mes NAS ou autre sans ouvertures de ports. Ce paquet passe par le port 443 et bloque le reverse proxy.
Solution, supprimer "TAILSCALE" c'est dommage l'idée était pas mal.

Modifié par GrOoT64
Solution
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, GrOoT64 a dit :

J'ai installé dernièrement le paquet "TAILSCALE" qui permet de joindre mes NAS ou autre sans ouvertures de ports. Ce paquet passe par le port 443 et bloque le reverse proxy.
Solution, supprimer "TAILSCALE" c'est dommage l'idée était pas mal.

Ho ! C'est très con que le paquet Tailscale monopolise le port 443... et je suppose qu'on ne peut pas l'installer autrement...
faudrait voir avec Docker si tu veux le conserver... mais pa sûre que ça fonctionne...

N'oublie pas de cocher la case HSTS 🙂 

Lien vers le commentaire
Partager sur d’autres sites

J'ai abandonné l'idée de Tailscale je vais faire autrement.
Pour le HSTS, il faut que je coche la case pour toutes redirections ? elle n'est cochée nulle part

Le 20/02/2018 à 09:11, Kawamashi a dit :

Il faut activer le HTTP/2. Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé).

nas3410.png

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 44 minutes, GrOoT64 a dit :

J'ai abandonné l'idée de Tailscale je vais faire autrement.
Pour le HSTS, il faut que je coche la case pour toutes redirections ? elle n'est cochée nulle part

Oué en effet... mais perso j'accède via mes ndd que en HTTPS, donc jamais je ne désactiverais le HTTPS sur les ndd...

À toi de voir 🙂 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

j'ai activé le reverse proxy, il a bien fonctionné a l'essaie il y a quelques jours, puis je l'ai supprimer.

Suite aux attaques j'ai modifié les ports DSM , problèmes d'attaques résolus, je viens de le remettre en fonction le reverse proxy , et là ... affichage de la page "non securisé"

pourtant le "fichier.toto.synology.me" est bien présent dans le certificat 

port 80 et 443 redirigés ok

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 59 minutes, toutnickel a dit :

Suite aux attaques j'ai modifié les ports DSM , problèmes d'attaques résolus

Si tu passes par un proxy inversé, le port sur lequel DSM est exposé importe peu, car l'attaquant éventuel n'y a pas accès, il utilise toujours le même port 443. Donc je ne vois pas comment ça a pu arranger quoique ce soit.

Mal lu ton message. A quoi ressemble ton entrée de proxy inversé ?

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Le 11/08/2021 à 11:24, toutnickel a dit :

pourtant le "fichier.toto.synology.me" est bien présent dans le certificat 

Le 11/08/2021 à 11:24, toutnickel a dit :

et là ... affichage de la page "non securisé"

Bonsoir,

Si le certificat est pour toto.synology.me alors c'est normal le certificat n'est valable que pour ce domaine (et alias par exemple toto.synology.com/fichier ), mais pas pour les différents sous domaines comme par exemple www.toto.synology.com....

Il faut soit un certificat "wildcard" qui englobe tous les sous domaines, soit créer un certificat différent par sous domaine.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, maxou56 a dit :

Bonsoir,

Si le certificat est pour toto.synology.me alors c'est normal le certificat n'est valable que pour ce domaine (et alias par exemple toto.synology.com/fichier ), mais pas pour les différents sous domaines comme par exemple www.toto.synology.com....

Il faut soit un certificat "wildcard" qui englobe tous les sous domaines, soit créer un certificat différent par sous domaine.

certificat toto.jpg

j'ai essayer avec le port 7000 et 7001 idem

Modifié par toutnickel
ajout copie ecran
Lien vers le commentaire
Partager sur d’autres sites

@maxou56

Bonjour,

le truc c'est que cela a fonctionner ... je tapais bien l'URL file.toto.synology.me et cela fonctionnais bien, mais en // j'avais un paquet d'attaques bien connue apparemment de Synology, (voir articles) https://www.cachem.fr/nas-synology-stealthworker/

donc j'ai mis de coté le reverse proxy en me disant une fois regleé mes problèmes d'attaques je le remettrai en service.

j'ai une freebox Delta et j'utilises le DDNS de synology.me

Comment créer un certificat Wilcard ?

Lien vers le commentaire
Partager sur d’autres sites

[mention=37779]maxou56[/mention]
Bonjour,
le truc c'est que cela a fonctionner ... je tapais bien l'URL file.toto.synology.me et cela fonctionnais bien, mais en // j'avais un paquet d'attaques bien connue apparemment de Synology, (voir articles) https://www.cachem.fr/nas-synology-stealthworker/
donc j'ai mis de coté le reverse proxy en me disant une fois regleé mes problèmes d'attaques je le remettrai en service.
j'ai une freebox Delta et j'utilises le DDNS de synology.me
Comment créer un certificat Wilcard ?

Bonjour,
Si tu as une Freebox Delta, tu peux avoir un nom de domaine attribué par free sans passer par synology.me.
En .xxx. freeboxos.fr
Peut-être seras-tu moins attaqué (NAS) que ceux qui ont une redirection en synology.me ou.com. Mais c’est une supposition.
2ème tu peux demander à FREE d’avoir une adresse IP full stack, plus facile pour gérer les ports et en plus tu as une adresse IP fixe donc stable et pas besoin de passer par un DNS.
Après la création d’un ou plusieurs certificats Let’s Encrypt devient une formalité.
Amicalement


Envoyé de mon iPhone en utilisant Tapatalk
Lien vers le commentaire
Partager sur d’autres sites

@toutnickel

Bonjour,

Il y a 11 heures, toutnickel a dit :

Comment créer un certificat Wilcard ?

Si tu as un DDNS en "toto.synology.me" alors dans DSM il te suffit de créer un certificat LE pour ce domaine et de mettre simplement dans "Autre nom de l'objet"  --> "*.toto.synology.me".

Ainsi le wilcard "*.toto.synology.me" couvrira tous tes domaines existants et à venir du type "xxxxx.toto.synology.me".

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@Drayabob @oracle7

@drayabob
Oui je l'utilise effectivement pour la freebox et j'ai aussi l'IP fixe 

@oracle7
j'ai déjà un certificat qui couvre pas mal d'appli et le reverse proxy fonctionnait bien avant mes modif de port DSM,  j'ai donc recréer un autre certificat avec même nom de domaine et en nom d'objet j'ai ajouter *.toto.synology.me, toto.synology.me il est bien présent dans la liste du 2ème certificats.

 


 

Modifié par toutnickel
modification texte
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.