[Tuto] Reverse Proxy

[Pinpon_112]

@Jeff777

il y a 17 minutes, Jeff777 a dit :

Pour transférer les requêtes de http vers https soit tu coches la case qui va bien dans "portail de connexion/DSM" soit , mieux tu crées le fichier .htaccess.

OK, je vais essayer.  Tu me rappelles pour le fichier .htaccess, svp ?  Il me semble que j'en avais un aussi pour mon autre NAS.

Modifié le 2 septembre 2023 par Pinpon_112

[Jeff777]

RewriteEngine On

RewriteCond %{HTTPS} Off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

[Pinpon_112]

@Jeff777,

J'ai mis le fichier .htaccess à la racine du dossier Web et j'ai tout viré dans web station sauf ce que je ne pouvais pas et cela ne fonctionne toujours pas.  Je précise qu'actuellement, j'ai désactiver le pare-feu afin de faire tout et dès que cela fonctionnera, je remets le pare-feu.  De cette manière, je peux éliminer les problèmes du au pare-feu.

[Jeff777]

@Pinpon_112 reprend depuis le début le tuto de Kawamashi, il n'y a aucune raison que tu n'y arrives pas.

[Pinpon_112]

Bon, j'ai tout refait dans l'ordre.

Les registrars dans mon domaine (hébergeur);
Les ports 443 et 80 sont ouverts sur mon routeur;
Actuellement, le pare-feu du NAS est désactivé, donc pas d'incidence;
J'ai créé le web station sachant que l'apache 2.2 n'existe plus.  J'ai donc apache 2.4 et php 7.4 ou 8.0 ou 8.1 ou 8.2 (c'est la même chose au niveau résultat);
Mis le fichier .htaccess à la racine de web;
Créé un reverse proxy.

Résultat, c'est toujours la page de webstation qui arrive.  Qui peut m'aider car je m'arrache les cheveux et je n'en ai plus beaucoup 😞

[Jeff777]

Il y a 13 heures, Pinpon_112 a dit :

Résultat, c'est toujours la page de webstation qui arrive.

Le 20/02/2018 à 09:11, Kawamashi a dit :

Si quand on tape ndd.fr on est redirigé vers l'interface de connexion à DSM (ce que je ne veux pas), il faut vérifier que la case "Activer un domaine personnalisé" dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM est décochée (ou bien qu'on a mis un autre nom de domaine que ndd.fr dans ce champ, cf tuto DNS Server). Par contre, pour se connecter à l'interface de gestion du NAS, il faudra désormais taper l'IP locale du NAS + le port DSM non sécurisé dans la barre d'adresse du navigateur (à moins d'avoir mis en place une zone DNS locale, avec une adresse comme nas.super_nom.lan qui pointe sur le NAS).

Je suppose que tu essaies de te connecter en local. As-tu créé une zone locale dans DNS Server ?

[firlin]

Moi j'ai peur qu'avec la dernier version de DMS 7.2 ce tutos ne soit plus à jour.
D'ou les probleme que rencontre @Pinpon_112.

Pour ma part j'ai fait un revers-Proxy, mais je suis pas passer par un fichier .htaccess, ça a passé la migration par contre pour retrouvé les paramètre c'est un peu compliqué

 

[HugOil]

Bonsoir,

Ayant changé de NAS (DSM720+), j'ai refait la configuration de ce dernier via les différents tutos (Securisation, nom de domaine, reverse proxy). Je me sers exclusivement du NAS pour la vidéosurveillance via l'application Surveillance Station.
Tout a fonctionné à merveille durant 4 mois mais un jour je n'ai plus retrouvé mon NAS sur mon réseau local:

• Synology assistant ne le trouvait pas
• Le ping de l'IP sur mon réseau local ne rendait rien

Je ne comprends pas d'où vient le soucis car à priori rien n'a changé dans mon réseau, box etc...

J'ai donc fait un reset mode 1 et j'ai tenté de reconfigurer sur la base de mon ancienne configuration les accès à distance. J'en ai profité pour suivre le nouveau tuto sécurité sur DSM7.
Mais depuis impossible d'accéder à l'application Surveillance station depuis l'extérieur (en 4G). J'ai le message d'erreur suivant:

J'ai tout revérifié de A à Z mais je sèche. En résumé ma configuration:

IP de mon nas est statique

Je passe par un nom de domaine sur ovh: mondomaine.ovh et je me connecte via XXX.mondomaine.ovh

• Zone DNS configuré et propagée
• Dynhost cible bien l'adresse publique de ma box

Le pare-feu du NAS est configuré:

 

Le renvoie des ports sur ma box (Bouygues fibre)est activé:

J'ai changé le port de connexion à Surveillance station

Quand je clique sur le lien local j'arrive bien sur Surveillance Station.

Le reverse proxy pour Surveillance Station est activé:

 

Quand je fais un nslookup camera.hurion.ovh je tombe sur l'adresse IP publique de ma box.

Idem quand je suis sur un navigateur en 4G et que je fais https://mondomaine.com j'arrive sur  la page de  login de ma box.

Est ce que ca vous donne une piste de mon erreur?

Merci d'avance pour le support

 

Modifié le 29 novembre 2023 par HugOil

[Jeff777]

Bonsoir @HugOil

Tu devrais être plus prudent et ne pas divulguer ton nom de domaine.

Sinon, je ne suis pas sûr, mais chez moi j'ai créé une Websocket dans l'onglet "entête personnalisé" du proxy inverse.

Modifié le 28 novembre 2023 par Jeff777

[HugOil]

Bonsoir @Jeff777, OK je vais masquer les noms.
 

Je n'avais pas de websocket auparavant. Pourquoi faudrait-il en rajouter un? Surtout que je ne sais pas vraiment ce que c'est...

[Jeff777]

il y a 18 minutes, HugOil a dit :

Pourquoi faudrait-il en rajouter un?

Je ne suis pas certain mais si j'en ai créé un (onglet entête perso/créer/Websocket qui ajoute deux lignes) c'est sans doute que cela fonctionnait mieux avec. 

Autrement vérifie que ton fichier host n'a pas changé sur ton PC ou bien remplace localhost par l'adresse IP locale de ton nas.

Ton pare-feu est un peu curieux. Tu autorises les requêtes avec le port 80 puis le limite à certains pays dans la ligne du dessous ce qui n'est pas pris en compte . Mais cela n'est pas bien grave.

[_DR64_]

Il y a 1 heure, HugOil a dit :

je fais https://camera.*******.ovh j'arrive sur  la page de  login de ma box.

Effectivement, on arrive TOUS sur ta page Bbox 😛 
Reprends tous tes commentaires et masque tous tes domaines.

Modifié le 28 novembre 2023 par _DR64_

[HugOil]

@Jeff777 merci pour ton retour.

Citation

remplace localhost par l'adresse IP locale de ton nas.

En effet bonne idée, mais ça ne change rien...

Mon fichier host n'a pas été modifié

@_DR64_ bon OK définitivement j'ai fait une boulette!

Mais du coup est ce que ca peut aider dans la résolution de mon soucis? Ca veut dire que mon renvoie de port via la box ne fonctionne pas?

Modifié le 28 novembre 2023 par HugOil

[Jeff777]

J'ai pas d'autres idées ....sauf attendre que les experts pointent leur nez 

[_DR64_]

Il y a 7 heures, HugOil a dit :

bon OK définitivement j'ai fait une boulette!

ça arrive à tout le monde, en revanche il en reste encore quelques unes d'affichées.

Concernant ton problème il survient seulement pout surveillance station ?

Modifié le 29 novembre 2023 par _DR64_

[_DR64_]

Je viens d'essayer chez moi avec les mêmes ports surveillance station que toi (9902) sans websocket, j'arrive bien sur la page d'authentification du paquet

D'ailleurs peu importe le domaine utilisé, j'arrive sur ta box (test.tondomaine.tlf ; test2.tondomaine.tld ; etc...)
Pour moi soucis vient de ta box :

Ton domaine renvoie bien vers ton IP publique. jusque là RAS
Mais ton IP publique revoie vers ta box...

Tu n'as pas coché cette case ? :

ça c'est fait aussi ?

Pour mettre en place la redirection automatique, il faut créer un fichier .htaccess. Pour ça, il faut créer un fichier texte dans le dossier Web. A l'intérieur de ce fichier, on écrit le code suivant :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

On enregistre sous ".htaccess" (donc sans nom mais juste avec l'extension htaccess).

Modifié le 29 novembre 2023 par _DR64_

[_DR64_]

dans mon cas j'ai ça mais je suis en HSTS : 

RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

 

Modifié le 29 novembre 2023 par _DR64_

[Jeff777]

@HugOil

Reprends le tuto dans son intégralité y compris la partie certificat (est-il toujours valable ?) et mise en place de Webstation.

 

[HugOil]

Citation

Concernant ton problème il survient seulement pout surveillance station ?

Oui mais en meme temps c'est l'unique service que j'utilise à distance et même de façon plus générale sur mon NAS.

Citation

Je viens d'essayer chez moi avec les mêmes ports surveillance station que toi (9902) sans websocket, j'arrive bien sur la page d'authentification du paquet

Ok donc pas besoin de rajouter de websocket. Ouf une couche de complexité en moins!

Citation

Mais ton IP publique revoie vers ta box...

Mais mon IP publique ce n'est pas justement ma box? C'est la passerelle qui me permet de communiquer du local à l'extérieur.

Citation

Tu n'as pas coché cette case ? :

Non je ne l'ai pas coché. Mais dans ton message, je ne comprends pas si je dois la cocher ou pas?

Citation

Reprends le tuto dans son intégralité y compris la partie certificat (est-il toujours valable ?) 

J'ai repris tout le tuto. J'ai réémis un certificat.
En revanche c'est vrai que je n'ai pas refait l'auto-hébergèrent car j'avais lu dans les fil de discussion reverse proxy que ce n'étatit plus nécessaire (et d'ailleurs ca fonctionnait sans jusque là). Mais je vais le refaire.

[HugOil]

[EDIT 9:26] Je viens faire la partie auto hebergement en essayant le script du tuto et le script de @_DR64_, ca ne fonctionne pas.
Quand je tape XXX.mondomaine.ovh je tombe toujours sur la page d'accueil de ma box...

[Jeff777]

il y a une heure, HugOil a dit :

Quand je tape XXX.mondomaine.ovh je tombe toujours sur la page d'accueil de ma box...

Je me suis permis d'essayer. Moi aussi j'arrive sur l'interface de gestion de la box mais le certificat est dit non valide. Il te faut vérifier celui-ci. 

 

[HugOil]

J'ai refait un certificat avec let's encrypt pour mondomaine.ovh et aussi l'alias camera.mondomaine.ovh.
Les certificats sont dits valides, valables jusqu'en 2024.

Je sèche!

[CMDC]

Tout semble correct , mais ta déclaration DNS me laisse un peu perplexe ....

[Mic13710]

Il y a 15 heures, HugOil a dit :

J'ai changé le port de connexion à Surveillance station

Ca ne présente aucun intérêt, surtout si vous ne l'ouvrez pas vers l'extérieur, mais si ça vous rassure....

Il y a 2 heures, Jeff777 a dit :

Je me suis permis d'essayer.

J'ai aussi essayé et je tombe sur la box en passant par une exception pour le certificat. Est-ce que le certificat est bien attaché au ndd de SS ?

Si ça ne fonctionne pas, c'est que la redirection du port 443 vers le NAS ne se fait pas. Le routeur n'est pas black listé ?

 

[Jeff777]

@HugOil

Si tu as conservé le certificat synology, comme le dit @Mic13710 il faut vérifier dans sécurité/certificat/paramètre  que c'est bien celui de ton domaine  qui est affecté à caméra.tondomaine.ovh

Modifié le 29 novembre 2023 par Jeff777