[Tuto] Reverse Proxy

[Jeff777]

Pour synology drive client je n'utilise pas un reverse proxy mais les entrées A suivantes dans les zones :

publique : syno.ndd  A ippubliquedunas

privée : syno.ndd A iplocaledunas 

et je mets l'adresse syno.ndd (sans port) dans la tâche de synchro en face de synology nas.

C'est tout.

Le proxy inverse il me sert pour l'application drive   https;//drive.ndd ==>http://iplocaldunas:portdel'applidrive

[Rutos]

@oracle7J'ai suivi ton conseil d'autant que je me connecte suffisamment régulièrement sur ce forum pour prendre le temps de le faire même si je n'y suis pas très actif.

Pour finir, j'ai routé le port 6690 de la box SFR vers mon routeur qui lui le route vers le NAS.

J'ai supprimé DNS Server.

Désormais cela fonctionne en mettant le NDD dans Synology Drive Client mais pas le sous domaine drive.

Je touche plus à rien et je vais suivre ça

Merci à @.Shad. et @oracle7 d'avoir pris le temps de me répondre

[MilesTEG1]

Il y a 2 heures, Rutos a dit :

Pour finir, j'ai routé le port 6690 de la box SFR vers mon routeur qui lui le route vers le NAS.

Pour le Drive server on n’a pas le choix.

je dois moi aussi router ce port car ça ne peut pas passer par le reverse proxy, j’ai moi aussi essayé en vain 😅

c’est le seul port autre que le 443 que j’ai routé sur mon routeur vers le nas.

 

[Jeff777]

Il y a 7 heures, MilesTEG1 a dit :

Pour le Drive server on n’a pas le choix.

Sauf pour la synchronisation en LAN ou depuis l'extérieur en utilisant VPN serveur

[.Shad.]

Il y a 12 heures, Rutos a dit :

j'ai suivi toutes les étapes et Synology drive client en local a toujours besoin de l'adresse ip et ne sait pas utiliser le NDD avec le sous-domaine dédié au drive

Si c'est le cas c'est que soit tu envoies pas l'IP du routeur comme serveur DNS primaire via le DHCP aux clients de ton réseau, soit le pc depuis lequel tu es connecté est en adressage statique.

[MilesTEG1]

Il y a 1 heure, Jeff777 a dit :

Sauf pour la synchronisation en LAN ou depuis l'extérieur en utilisant VPN serveur

Oui effectivement ainsi pas besoin de router le port.

mais comme je suis jamais connecté en permanence à mon serveur VPN j’ai pas le choix que d’ouvrir le port 😊

[Jeff777]

@MilesTEG1

Maintenant je me demande si en IPV6 tu as besoin d'ouvrir le port. Router le port je suis sûr que non par contre il faut peut-être l'ouvrir. 

A noter que j'ai installé Synology photo sur le téléphone de mon épouse et en activant l'IPV6 on peut, avec les données mobiles, synchroniser les photos et vidéo prises par l'appareil photo ou bien reçues par What'app ou SMS entre ce téléphone et le NAS. Et ceci sans ouverture de port spécifique.

Modifié le 12 septembre 2021 par Jeff777

[MilesTEG1]

@Jeff777 Pour l'IPv6, perso je ne l'active pas, car je n'arrive pas à savoir comment ce protocole fonctionne et si oui ou non mon LAN est protégé... enfin je veux dire si mon LAN est accessible en openbar comme ça depuis internet, et inversement...

Du coup je reste sur l'ipv4 tant que je le peux pour internet.
Jamais je n'activerais l'ipv6 sur le LAN, je n'en vois pas l'intérêt...

[Jeff777]

Il y a 8 heures, MilesTEG1 a dit :

Pour l'IPv6, perso je ne l'active pas, car je n'arrive pas à savoir comment ce protocole fonctionne et si oui ou non mon LAN est protégé

Oui bien d'accord, mais par curiosité j'ai voulu le pratiquer. De plus un jour ou l'autre nous serons peut-être obligés d'y passer.

La sécurité du protocole je m'en suis inquiété jusqu'à ce que je réussisse à paramétrer le pare-feu IPV6 de mon routeur. Maintenant je pense que j'ai le même niveau de sécurité. Mais je ne cherche à persuader personne 😉

[Fab221]

Bonsoir à tous,

Je vois qu'au moins une personne rencontre un souci avec  Synology Drive Client donc je me joins à l'échange 🙂

J'ai suivi le conseil de @oracle7 à savoir ouvrir le port 6690 de ma box vers le NAS et ouvrir le 6690 dans le pare-feu du NAS

Alors si je me connecte de n'importe quel endroit en indiquant https://drive.ndd c'est nickel cela fonctionne parfaitement, par contre avec Synology Drive Client là ou il faut indiquer le "domain name" que je mette drive.ndd.com ou simplement ndd.com ou encore uniquement mon ip, j'ai un message indiquant que le certificat n'est pas fiable... Donc je reste via un navigateur en https mais bon.

J e précise que "activer le chiffrement de la transmission des données SSL" est coché.

Je viens de vérifier le certificat de mon NDD sur le nas et https://drive.ndd est bien indiqué donc le souci est ailleurs mais où ? 

[MilesTEG1]

@Fab221 Tu n'aurais pas un soucis avec ton certificat ?
Je pense que tu as un certificat autosigné, d'où le message d'erreur.
Il te faut générer un certificat Let's Encrypt pour ton nom de domaine. Et affecter ce certificat au service en question.
Tout se fait depuis l'interface de DSM.

[Fab221]

Bonsoir @MilesTEG1

Sauf erreur, mon certificat est bien pour mon ndd est il est bien indiqué en "certificat par défaut RSA ECC"

Je l'ai renouvelé toute à l'heure est il est ok jusqu'au 18-12-2021.

En plus via un navigateur cela fonctionne sans erreur en https en indiquant http://drive.ndd.com

Apres peut-être faut-il ajouter un champ dans les DNS du NDD chez OVH ?

Modifié le 19 septembre 2021 par Fab221
ajout ligne

[oracle7]

@Fab221

Bonjour,

Réessaies en ajoutant le port 443 à ton URL.

C'est comme cela pour toutes les applications DSxxx il faut ajouter le port à URL alors que ce n'est pas utile en local ou depuis un navigateur, si je ne dis pas de c...ies... 🤪

Cordialement

oracle7😉

[Fab221]

Bonsoir @oracle7

J'avais déjà essayé cette option mais cela ne fonctionne pas.

En fait @MilesTEG1 avait raison ce n'était pas le bon certificat qui était sélectionné pour Synology Drive Client 🤪 

Pour ceux qui auraient le même souci, sélectionnez le certificat pour votre NDD, cliquez sur paramètres, et vérifiez qu'il n'y ai pas une ligne avec un certificat "synology" !!

[MilesTEG1]

Il y a 6 heures, Fab221 a dit :

En fait @MilesTEG1 avait raison ce n'était pas le bon certificat qui était sélectionné pour Synology Drive Client 🤪 

Pour ceux qui auraient le même souci, sélectionnez le certificat pour votre NDD, cliquez sur paramètres, et vérifiez qu'il n'y ai pas une ligne avec un certificat "synology" !!

C'est pourtant ce que je t'avais dit de vérifier 😄 :

Il y a 7 heures, MilesTEG1 a dit :

Il te faut générer un certificat Let's Encrypt pour ton nom de domaine. Et affecter ce certificat au service en question.

 

[Syl12]

Bonjour à tous, et merci Kawamashi pour ce tuto très clair!

J'ai suivi toutes les étapes et je pense avoir réussi à configurer mes services en reverse proxy. Cependant, cela ne fonctionne toujours pas depuis l’extérieur, je reste bloqué sur la page index de webstation, et je pense savoir d’où vient le problème, mais je voudrais avoir confirmation de votre part:

-J'utilise un ndd synology.me, ce qui ne permet pas de rediriger l'ensemble de mes sous-domaines vers le ndd. y a t-il une méthode avec ce fournisseur ddns ou bien faut-il que je passe obligatoirement par ovh ou autre?

Merci beaucoup pour votre aide!

Sylvain

[oracle7]

@Syl12

Bonjour,

il y a 4 minutes, Syl12 a dit :

J'utilise un ndd synology.me, ce qui ne permet pas de rediriger l'ensemble de mes sous-domaines vers le ndd.

Si tu utilises un domaine gratuit fourni par Synology il est forcément du type : "tondomaine.synology.me".

Ensuite pour atteindre tes sous-domaines :

• Ceux-ci doivent être de la forme "xxxxx.tondomaine.synology.me". Avec "xxxxx" correspondant à chacun de tes sous-domaines par ex : xxxxx = monnas, ou = mesfichiers, ou = mesphotos, etc ...
• Il te faut aussi obtenir un certificat Let's Encrypt qui couvre ton domaine à savoir "tondomaine.synology.me" mais aussi un wilcard pour couvrir tous tes sous-domaines existants ou à venir, à savoir : "*.tondomaine.synology". C'est cette dernière valeur que tu dois mettre dans "Autre nom de l'objet" lorsque tu crées le certificat pour "tondomaine.synology.me".

Vérifies ensuite que tu atteins bien ton @IP externe en tapant dans un terminal sous SSH : " nslokup tondomaine.synology.me 8.8.8.8 " et que depuis l'extérieur dans un navigateur Wed que tu atteins bien ton NAS en tapant l'URL : " https://tondomaine.synology.me:5001 ".

Cela dit, tu t’apercevras vite que l'usage d'un domaine en synology.me trouve vite ses limites car d'une part tu n'en sera jamais le propriétaire et d'autre part à mon humble avis c'est un peu lourd (car long !) à écrire à chaque saisie d'URL. C'est pourquoi, je t'invites à prendre un domaine personnalisé par ex chez OVH pour à peine une dizaine d'euros pas an et de suivre ce TUTO : Pourquoi et comment utiliser un nom de domaine. Tu verras qu'il est qu'en même plus aisé d'avoir à taper par ex: dsm.syl12.fr pour atteindre ton NAS (DSM), non ?

Cordialement

oracle7😉

[Syl12]

Hello Oracle7!

 

merci pour ton retour, mais ça ne répond pas tout à fait à ma question mal formulée! 😀

En fait je pense que dans les options du compte synology DDNS je ne peux pas rediriger les sous domaines vers une IP fixe, je dois me contenter d'une résolution DNS simple sans les sous-domaines... Je vais tester avec seulement l’accès à un seul service, mais l'objectif de ma config est d'arriver à accéder à fichiers/video/music.ndd.synology.me depuis l'extérieur

En gros je n'arrive pas avec mon compte syno à réaliser la toute première étape du tuto:

Configuration du nom de domaine chez le registrar

Je prends le cas d'une IP fixe car j'ai la chance de ne pas être confronté au problème des IP dynamiques !

Avoir son nom de domaine (NDD) va nous permettre d'accéder à notre réseau local depuis Internet. Une fois le NDD loué, il faut ajouter 2 entrées dans sa zone DNS :
   - une entrée de type A qui redirige le NDD vers l'IP fixe de la box (ndd.fr. => IP fixe)
   - une entrée de type CNAME qui redirigera l'ensemble des sous-domaines vers le NDD (*.ndd.fr. => ndd.fr.)

 

[oracle7]

@Syl12

Bonjour,

C'est moi qui ai du mal à te suivre maintenant. Il me semblait que tu avais une @IP externe dynamique car initialement tu parlais de DDNS.

il y a 45 minutes, Syl12 a dit :

En gros je n'arrive pas avec mon compte syno à réaliser la toute première étape du tuto:

De quel TUTO tu parles ? Car là maintenant tu parles d'avoir une @IP externe fixe. Du coup la configuration à faire n'est pas tout à fait la même ! Et avec une @IP externe fixe il n'y a pas besoin de configurer de DDNS (Dynamic Domain Name Server). Je crains que tu ne mélanges les notions, mais je peux me tromper ...

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

 

Cordialement

oracle7😉

[Syl12]

@oracle7

Oui en effet je suis bien en IP publique fixe sur ma freebox. Désolé pour le manque de clarté, je parle bien de DNS et non de DynDNS...🙃

Et je parle de ce tuto que j'ai suivi au tout début de ce fil de discussion (reverse proxy).

Tu penses que j'ai raté une étape ou qu'il me manque un élément particulier? Est-ce possible d'accéder à plusieurs sous-domaines avec le DNS de syno?

Je suis peut-être pas encore assez au niveau pour ce genre de manip, mais j'apprends doucement!

 

Merci à toi!

 

[oracle7]

@Syl12

Bonjour,

il y a 29 minutes, Syl12 a dit :

Est-ce possible d'accéder à plusieurs sous-domaines avec le DNS de syno?

Qu'est-ce tu entends par le "DNS de syno" ? Est-ce que tu parles du domaine "tondomaine.synology.me" ou bien du serveur DNS ? il faut appeler un chat un chat sinon on risque te tourner en rond et ce ne sera pas carré !😜

Si tu parles du domaine "tondomaine.synology.me" avec son wilcard, alors Oui tu peux accéder via des sous-domaines "xxxxx.tondomaine.synology.me" à différentes applications/services de DSM au travers du Proxy Inversé.

Si tu parles du serveur DNS, ce n'est pas du tout la même chose. Un serveur DNS traduit des noms de domaines en @IP. Soit tu as un serveur DNS d'installé sur ton NAS, donc avec une zone locale DNS pour résoudre les URL comportant un nom de domaine,  soit tu utilises celui/ceux par défaut de ta box qui, au travers du serveur DHCP de celle-ci, communique au NAS l'@IP du/des serveur(s) DNS à utiliser pour résoudre les URL comportant un nom de domaine.

Dans le cas du Reverse Proxy, peut importe le serveur DNS, le RP de ton NAS écoute en permanence le port 443 et pour les URL qui y arrivent avec un nom de domaine alors selon ce nom de domaine il transfert le flux associé vers l'@IP sur le bon port, de l'application/service correspondante. C'est l'objet de chacune des régles de RP que tu auras définies.

Donc par ex l'URL : https:// mesfichiers.tondomaine.synology:443 sera redirigée vers http://localhost:7000 qui n'est autre que ton application FileStation sur ton NAS. De cete façon FileStation (et donc ton NAS) n'est pas exposée directement sur Internet.

Cordialement

oracle7😉

[Syl12]

@oracle7

Merci pour ton aide oracle7 ! Je vais reprendre la configuration depuis le début, c'est vrai que des fois j'ai du mal avec la terminologie!

[oracle7]

@Syl12

Bonjour,

N'hésites pas à revenir poser tes questions si besoin en est ...

Cordialement

oracle7😉

[math311]

Bonjour, merci pour le Tuto.

J'ai un peu de mal à mettre en place le reverse-proxy pour le calDav et cardDav, est ce que vous pourriez m'aider?

J'ai créé des sous domaines contact.mon.domaine, calendrier.mon.domaine et drive.mon.domaine, j'ai fait les redirections dans le reverse proxy, ça marche bien pour Synology Drive, par contre, pas moyen de m'en sortir avec les deux autres.

J'ai redirigé contact.mon.domaine vers le port 5555 (le port du server CardDav inclus dans Contacts à priori)

J'ai redirigé calendrier.mon.domaine vers le port 38443 (le port du server CalDav inclus dans Calendar à priori). J'ai aussi essayé de rediriger vers 38008 vu qu'une fois passé le reverse proxy on est sur le réseau local

A chaque fois, lorsque j'essaie d'ajouter mon compte dans les réglages iOS, j'ai un message "connexion impossible avec SSL"

Je comprends pas ce qui ne fonctionne pas, ça marchait bien avant avec des redirections de ports sur la box, mais l'argument "un seul port ouvert" du tuto m'a fait basculer 🙂 donc je veux y arriver

Je précise que je ne souhaite pas accéder aux interfaces de Contact ou Calendar, je veux juste synchroniser mes contacts et calendriers entre mes appareils. Et j'ai utilisé ça au lieu de CardDav Server par exemple parce qu'il me semble que ce sont les solutions qui seront maintenues à l'avenir par synology. Maintenant si c'est impossible de faire ce que je veux avec ça, je suis pas fermé à l'idée de changer 🙂

(Ah oui, j'ai aussi essayé en ajoutant :443 à l'url mais ça ne change rien)

Merci d'avance pour votre aide

[Jeff777]

Bonjour @math311

Quel version du DSM ?