[Tuto] Reverse Proxy

[HugOil]

Citation

J'ai aussi essayé et je tombe sur la box en passant par une exception pour le certificat. Est-ce que le certificat est bien attaché au ndd de SS ?

Je vais vérifier en rentrant mais le certificat est bien attaché au ndd. SS ca veut dire quoi? Surveillance Station?
J'ai fait plusieurs tests donc deux certificats

• Un pour ndd.ovh
• L'autre pour camera.ndd.ovh

Dans tous les cas ça ne solutionne pas.

 

Citation

Le routeur n'est pas black listé ?

Comment le savoir? 
En tout cas avec l'historique de mon activité je ne pense pas avoir mal agi :). Le routeur est celui du FAI, Bouygues.

Citation

Tout semble correct , mais ta déclaration DNS me laisse un peu perplexe ....

@CMDC peux-tu détailler ce qui te laisse perplexe?

Citation

sécurité/certificat/paramètre  que c'est bien celui de ton domaine  qui est affecté à caméra.tondomaine.ovh

C'est vérifié mais je peux faire un Capture écran ce soir pour confirmer.

[CMDC]

il y a 7 minutes, HugOil a dit :

C peux-tu détailler ce qui te laisse perplexe?

https://fr.wiktionary.org/wiki/quand_le_sage_montre_la_Lune,_l’idiot_regarde_le_doigt

Quand tu auras trouvé ton problème je viendrais faire une conclusion !

Pour l'instant regarde la lune (le DNS !!!!) 

[Jeff777]

il y a 28 minutes, CMDC a dit :

Quand tu auras trouvé ton problème je viendrais faire une conclusion !

Tout cela n'aide pas beaucoup !

Je suppose qu' @HugOil n'a pas copié (plus haut) son enregistrement A de son domaine vers son adresse IP mais qu"il existe. Autrement comment arriverait-on sur sa box ? Non ?

Modifié le 29 novembre 2023 par Jeff777

[HugOil]

@Jeff777, merci pour ton retour. En effet je cherche à comprendre pourquoi ca renvoie vers ma Box et non mon NAS, en sachant que la redirection de port est active.
Quand je rentre je re-vérifie sur OVH mes enregistrements.

[.Shad.]

@HugOil Il faut partir de ce qu'a dit @Mic13710, si tu arrives sur la page de ta box en tapant https://mondomaine.ovh (sous-entendu https://mondomaine.ovh:443) c'est que ta redirection n'est pas active, le plus souvent tout simplement car l'interface de la box émet déjà sur son port 443, et que donc elle ne le translate pas.

Est-ce que tu n'aurais pas changé de box ? ou celle-ci aurait-elle reçu une mise à jour importante avec redémarrage à la clé ?

Je ne sais pas quel est ton FAI, mais tu dois aller voir dans les réglages de ta box si tu peux choisir le port sur lequel est exposé l'interface, s'il est sur 443 (probable), alors le déplacer devrait résoudre ton problème.

Modifié le 29 novembre 2023 par .Shad.

[Kramlech]

Il me semble qu'a une époque certaines box prenaient systématiquement la main lorsqu'une requête arrivait. C'est à dire que les redirections de ports n'étaient pas activées par défaut (même si on avait paramétré des redirections).

Il y avait une case à cocher pour activer la fonctionnalité ...

Ce ne serait pas le cas sur ta box ?

Edit : zut je n'avais pas vu le dernier message de @.Shad.. On est donc d'accord sur ce point, le problème doit venir de la box ....

Modifié le 29 novembre 2023 par Kramlech

[Jeff777]

Ah je me souviens avoir eu le problème avec ma Freebox. J'avais paramétré l'accès à distance du portail de Freebox OS avec les ports 80/443. Un des membres du forum (merci à lui) avait trouvé le problème et donc la solution, il a suffit de changer ces ports et tout est rentré dans l'ordre.

Pour la BBox c'est peut-être là (accès à distance):

Modifié le 29 novembre 2023 par Jeff777

[Mic13710]

Il y a 4 heures, Mic13710 a dit :

Le routeur n'est pas black listé ?

@HugOil je pensais à la protection du NAS. Menu Sécurité/Protection, bouton "Autoriser/Bloquer la liste". Vérifiez que l'IP du routeur n'est pas dans la liste des blocages. Si c'est le cas, il faudrait Whitelister les IP privées de la RFC1918 ou au moins couvrir les plages d'IP que vous utilisez pour ne plus être bloqué à l'avenir.

Il y a 3 heures, HugOil a dit :

SS ca veut dire quoi? Surveillance Station?

Oui.

[HugOil]

@Mic13710, le menu autoriser/bloquer n'est pas activer donc je n'ai pas de blocage d'IP

@Kramlech & @.Shad. ma redirection de port est la suivante:

Le DHCP et réglé comme ça:

Je ne trouve rien concernant le port où  est exposé l'interface. Le menu est le bon en effet @Jeff777 mais aucun des menus ne parle de port, hormis la redirection de port. J'ai effacé/refait la redirection de port mais RAS...
J'ai désactivé l'accès externe de la box pour voir mais ca ne change rien

[Mic13710]

Bizarre cette redirection à partir de l'adresse MAC. Pourquoi ne pas directement indiquer l'IP du NAS ? Est-ce un affichage automatique de la box en fonction des réservations ?

[HugOil]

Bon et bien j'ai finalement trouvé et c'était bien au niveau de la box...

Au niveau de l'interface de gestion il y'a un menu Contrôle accès 

Pour une raison que j'ignore mon NAS était dans les accès restreint.

Maintenant l'accès a distance fonctionne!

Citation

Bizarre cette redirection à partir de l'adresse MAC. Pourquoi ne pas directement indiquer l'IP du NAS ? Est-ce un affichage automatique de la box en fonction des réservations ?

Dans le détail, on sélectionne l'objet avec son IP dans un menu déroulant:

 

Merci à tous pour vos conseils et vos pistes. C'était finalement assez simple et bête mais je n'avais pas connaissance de ce menu accès restreint.

[Edit]: J'ai parlé trop vite, j'ai eu accès en 4G durant 10min et maintenant meme probleme.

Et mon NAS n'est pas dans les accès restreints de la box.... donc ca ne semble pas etre la solution.

[HugOil]

[Edit]: Et j'ai retrouvé le soucis et cette fois je pense que c'est la bonne. La piste de @Jeff777 était la bonne.

J'avais activé l'accès à distance de la box et le port d'écoute et le 443!

SI je désactive l'accès à distance de ma box, je peux accéder à SS à distance! Si j'active ça ne marche plus!

Voulant garder l'accès à distance de ma box, quel porte puis-je mettre?

[CMDC]

il y a 7 minutes, HugOil a dit :

Pour une raison que j'ignore mon NAS était dans les accès restreint.

Imparable !

Moralité : effectuer toutes les vérifications pas à pas .... 

Ceci dit , en conclusion , vérifie aussi tes règles de pare-feu elles sont un peu .... sujettes à débat !

De même que pour les résolutions DNS !
Que des règles explicites : genre camera.tondomaine.ovh (pour info mapetitebite.tondomaine.ovh fonctionne aussi !) et ensuite un TTL ne devrait pas être inférieur à 300 ! 
Juste pour l'élégance hein ?

[HugOil]

Un forum bouygues parle de ce soucis ici.

@CMDC, tu peux me dire ce qui va pas sur mes règles pare-feu? Je débute donc ca m'interesse!

[CMDC]

il y a 7 minutes, HugOil a dit :

Voulant garder l'accès à distance de ma box, quel porte puis-je mettre?

Personnellement j'ai toujours désactivé la redirection du port 443 .... et j'ai beaucoup de mal pour le port 80 dont j'ai restreint l'accès aux USA (Certificats Let'sEncrypt) ....

Pour accéder à mes BOX, ainsi qu'à tout mon Intranet,  je préfère largement utiliser OpenVPN .... 

Mais c'est un autre débat

[HugOil]

Ok je comprends.
Sur ma box, quel port puis-je ouvrir autre que le 443 pour avoir l'accès à distance?

[Jeff777]

il y a une heure, HugOil a dit :

quel port puis-je ouvrir autre que le 443

Libre à toi du moment qu'ils ne sont pas utilisés par ailleurs. Personnellement j'ai mis des ports exotiques du genre 25789 mais je ne les utilise pas car j'utilise un reverse proxy pour accéder à Freebox OS.

[CyberFr]

Il y a 10 heures, Jeff777 a dit :

Libre à toi du moment qu'ils ne sont pas utilisés par ailleurs. Personnellement j'ai mis des ports exotiques du genre 25789 mais je ne les utilise pas car j'utilise un reverse proxy pour accéder à Freebox OS.

Le reverse-proxy c'est magique car on n'a pas à ouvrir de port sur la box Internet. Tout passe par le port 443.

[HugOil]

Oui je fais du reverse proxy pour ma connexion avec le NAS.

Le soucis c'est que si je veux aussi pouvoir administrer ma box à distance et elle utilise le port 443. Le soucis c'est que du coup ca bloque le reverse proxy en 443 (voir le fil plus haut).

Voila pourquoi je cherche un autre port que 443 pour l'écoute de la box.

[Kramlech]

Si tu fais du reverse proxy, pourquoi ne pas interdire l'accès a distance de ta box, et y accéder depuis l'extérieur via le reverse proxy ?

Dans le reverse proxy, tu rediriges box.ndd.tdl vers l'ip interne de ta box, port 443, et le tour est joué...

Ainsi, tu peux accéder à ta box depuis l'extérieur, et tu limites les risques en n'ouvrant pas la box vers l'extérieur ...

Maintenant, il est certain que le plus sur, ce serait de passer par un VPN !

[Jeff777]

Il y a 1 heure, Kramlech a dit :

pourquoi ne pas interdire l'accès a distance de ta box

Oui tu as l'option sur la BBox apparemment. Je ne l'ai pas sur la Freebox c'est pour cela que j'ai mis un port compliqué. Si je retire le port il apparait 80 et 443 en grisé.

 

[Mic13710]

Il y a 1 heure, Jeff777 a dit :

Je ne l'ai pas sur la Freebox

Il me semble qu'il est possible de désactiver l'accès externe en décochant cette case :

La formulation est mal faite, mais dans l'explication il y a ceci :

Citation

D'autre part si vous souhaitez pouvoir vous identifier avec votre mot de passe en utilisant l'accès à distance vous devez cocher l'option ci dessous.

A essayer.

[Jeff777]

Il y a 10 heures, Mic13710 a dit :

Il me semble qu'il est possible de désactiver l'accès externe en décochant cette case :

Bien vu Mic13710, d'ailleurs l'adresse a utiliser n'est visible que si cette case est cochée.

[Pinpon_112]

Bonjour,

J'ai basculé mon NAS sur 2 ports agrégation.

Suite à cela, je peux effectivement me connecté avec cette adresse: 192.168.1.xx mais plus en machin.ndd.tld.  Idem pour mon Jeedom.

De même, les règles du pare-feu ont été supprimée.

Bref, quelqu'un peut-il m'aider ?  Je précise que même sans le pare-feu, le reverse proxy ne fonctionne pas.

[Pinpon_112]

Bon, je me répond à moi-même, le problème venait d'un mauvais port forwarding dans mon Unifi.  En corrigeant le bon port, cela va mieux.

Par contre, voici les nouvelles règles du pare-feu :

Est-ce correct ou faut-il rajouter quelque chose ?

Pour rappel, je suis passer d'un double LAN à un LAN avec agrégation.