Aller au contenu

[Tuto] Reverse Proxy


Kawamashi

Messages recommandés

Bon alors là, je suis très étonné.

Sans conviction, j'ai essayé la manip suivante :

Dans mon DNS local, j'ai défini (en IPV4 et IPV6) le domaine ma-freebox.ndd.tld pointant vers 192.168.0.254 et avec un enregistrement AAAA, vers l'adresse IPV6 externe de ma freebox 2a01:xxxx:yyyy:zzzz::1  et j'ai modifié la règle du reverse proxy en https://freebox.ndd.tld -> https://ma-freebox.ndd.tld et là, tout fonctionne parfaitement, aussi bien localement qu'à l'extérieur.

Note1 : j'ai activé l'IPV6 dans mon réseau local.

Note2 : si la règle du reverse proxy est https://freebox.ndd.tld -> http://ma-freebox.ndd.tld alors ça ne marche pas.
Je continue les investigations pour voir si c'est l'IPV6 ou le HTTPS qui fait que ça marche.

C'est tout de même bluffant !

Modifié par dd5992
Lien vers le commentaire
Partager sur d’autres sites

On a pu lire plusieurs retours déjà concernant des problèmes avec la Freebox et l'URL permettant de l'administrer.

Je pense qu'il y a un hardcoding quelque part dans la Freebox qui perturbe le fonctionnement normal, ou des références qui pointent vers l'extérieur, même quand on essaie d'y accéder uniquement en local.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci pour ce tuto super complet.

J'ai pu le dérouler sans aucun souci, malheureusement ça ne fonctionne pas chez moi...

J'ai un domaine ovh avec les sous domaines configurés et le certificat fonctionne bien : je ping bien, j'accède à mes services Syno en utilisant les alias DNS de mon domaine avec les bons ports en local (en configurant mon DNS pihole) ou depuis l'extérieur. C'est justement pour épurer ces redirections routeur que j'ai voulu mettre en place le reverse proxy).

Sans reverse proxy pour mon service (video par exemple) et sans préciser de port, j'arrive directement en HTTPS avec certificat valide sur la page web de mon syno ("webstation has been enabled. to finish up etc...").

Dès que je crée ma règle de reverse proxy , je me prends une erreur "too_many_redirects"

Ça fait quelques jours que je me tire les cheveux la dessus mais je suis un peu une truffe dans ce domaine donc si quelqu'un a une idée... Merci d'avance! 🙂

reverse3.png.82377bba2c47acf8fd2474dee646fd25.png

reverse2.png.4f3f702af65802ebc01d36322c522637.png

reverse4.thumb.png.fd832b9176c809b458e1a8a4bc05b688.png

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Le 07/09/2020 à 18:55, dd5992 a dit :

Dans mon DNS local, j'ai défini (en IPV4 et IPV6) le domaine ma-freebox.ndd.tld pointant vers 192.168.0.254 et avec un enregistrement AAAA, vers l'adresse IPV6 externe de ma freebox 2a01:xxxx:yyyy:zzzz::1  et j'ai modifié la règle du reverse proxy en https://freebox.ndd.tld -> https://ma-freebox.ndd.tld et là, tout fonctionne parfaitement, aussi bien localement qu'à l'extérieur.

Merci @dd5992 J'en déduis qu'en mode bridge, aucune solution ? 😞

Lien vers le commentaire
Partager sur d’autres sites

Le 07/09/2020 à 23:29, LeYog a dit :

J'ai un domaine ovh avec les sous domaines configurés et le certificat fonctionne bien : je ping bien, j'accède à mes services Syno en utilisant les alias DNS de mon domaine avec les bons ports en local (en configurant mon DNS pihole) ou depuis l'extérieur. C'est justement pour épurer ces redirections routeur que j'ai voulu mettre en place le reverse proxy).

Quasi certain que le problème vient des alias DNS renseignés dans Pi-Hole, est-ce que tous les sous-domaines utilisés pour faire du proxy inversé pointent bien vers le NAS, quelque soit la machine hébergeant le service derrière ?
Si tu peux mettre une impression d'écran (en cachant ton nom de domaine) de tes alias dans Pi-Hole stp.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, .Shad. a dit :

Quasi certain que le problème vient des alias DNS renseignés dans Pi-Hole, est-ce que tous les sous-domaines utilisés pour faire du proxy inversé pointent bien vers le NAS, quelque soit la machine hébergeant le service derrière ?
Si tu peux mettre une impression d'écran (en cachant ton nom de domaine) de tes alias dans Pi-Hole stp.

Merci du coup de main !

C'est mon syno qui héberge tout (serveur web, pihole(DNS+DHCP), video station)

J'ai bien renseigné video.mondomaine dans la lan.list de mon pihole (pour que ca reste persistant après un redémarrage du pihole).

Mes pc, qui utilisent pihole en serveur DNS, resolvent correctement mon sous domaine avec l'IP locale mais le Syno, lui, n'utilise pas pihole en serveur DNS. (la redirection du reverse proxy vers localhost empêche bien toute résolution DNS derrière ?) 

mon lan.list

lan_list.png.e04bef748ca5e20e598daa9d8266f697.png

 

 

Modifié par LeYog
Lien vers le commentaire
Partager sur d’autres sites

Apparemment la méthode lan.list est l'ancienne méthode, as-tu essayé la fonction Custom DNS directement disponible dans le GUI de Pi-hole ?
Essaie de reproduire ce que tu as avec lan.list dans la GUI.

Puis tu fais sur ton PC par exemple dans l'invite de commandes ou sur Linux :

nslookup video.ndd.fr IP_du_Pi-Hole

Tu as installé Pi-Hole de quelle manière ?

Lien vers le commentaire
Partager sur d’autres sites

J'avais pas remarqué la fonctionnalité dans l'interface ^^ (ça m'aurait évité quelques déboires)

nslookup avant modification via l'interface + clear du lan.list :

1990250586_Image19.png.ae933aa60cdf357ab063627e900dc21a.png

nslookup après :

1085373755_Image20.png.e61aab0baff54e72b88760f69e89a587.png

 

Mais j'ai toujours ERR_TOO_MANY_REDIRECTS

 

J'ai installé pihole via le tuto de mariushosting.com :

image docker officielle en latest

- execute high privilege

- mise en place de deux volumes pihole dnsmasq.d

- Use the same network as Docker Host

- quelques variables ajoutées/modifiées dont  DNSMASQ_LISTENING – Value: local et l'ip du serveur

 

Et derrière les quelques manips pour ajouter un dns (le tuto a visiblement été mis à jour depuis avec la nouvelle fonctionnalité via interface web)

 

Modifié par LeYog
Lien vers le commentaire
Partager sur d’autres sites

De ce que je lis ca ressemble à un souci côté Apache (peut-être du .htaccess?) mais j'ai aucune compétence la dessus ;'(

J'ai voulu suivre un tuto pour activer les logs d'apache, le simple fait d'avoir activé le ssh m'a valut 3 tentatives de login externes dessus en moins de 12h, j'ai désactivé ...

 

PS. Si je fais du reverse proxy vers le port https de video station, ca fonctionne bien !  Le problème semble bien venir de la redirection HTTPS => HTTP, soit de apache soit du reverse proxy du DSM mais je penche plutôt pour Apache

Comme indiqué par le posteur d'origine, ce serait dommage d'encrypter deux fois...

 

Modifié par LeYog
Lien vers le commentaire
Partager sur d’autres sites

Le 08/09/2020 à 22:57, Vinky a dit :
Le 07/09/2020 à 18:55, dd5992 a dit :

Dans mon DNS local, j'ai défini (en IPV4 et IPV6) le domaine ma-freebox.ndd.tld pointant vers 192.168.0.254 et avec un enregistrement AAAA, vers l'adresse IPV6 externe de ma freebox 2a01:xxxx:yyyy:zzzz::1  et j'ai modifié la règle du reverse proxy en https://freebox.ndd.tld -> https://ma-freebox.ndd.tld et là, tout fonctionne parfaitement, aussi bien localement qu'à l'extérieur.

Merci @dd5992 J'en déduis qu'en mode bridge, aucune solution ? 😞

@Vinky : Je ne dirais pas ça. Pour moi il n'y a pas de différence entre les modes routeur et bridge de ce point de vue, mais je n'ai testé la solution que je donne qu'en mode routeur.

Pourrais tu juste tester en changeant simplement dans la règle du reverse proxy pour l'accès à la freebox en

https://freebox.ndd.tld -> https://192.168.0.254

Ça fonctionne chez moi en mode routeur et je pense que ça doit marcher chez toi en mode bridge.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @dd5992 @Vinky,

Chez moi ce qui fonctionne (avec la pop en mode routeur mais avec un routeur en DMZ derrière) c'est :

reverse proxy https://freebox.ndd.tld -> http://192.168.0.254   et   nom de domaine par défaut défini dans freebox OS freebox.ndd.tld

Et il me faut les deux.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, dd5992 a dit :

Pourrais tu juste tester en changeant simplement dans la règle du reverse proxy pour l'accès à la freebox en

https://freebox.ndd.tld -> https://192.168.0.254

Ça fonctionne chez moi en mode routeur et je pense que ça doit marcher chez toi en mode bridge.

Merci pour ta réponse mais cela ne peut fonctionner en mode bridge car la box n'a pas d'IP. D'où le fait que je dise que le mode bridge est bloquant.

Par contre, je viens de trouver une alternative en ajoutant le ndd du reverse proxy dans le ndd de la freebox.

Modifié par Vinky
Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, Vinky a dit :

Merci pour ta réponse mais cela ne peut fonctionner en mode bridge car la box n'a pas d'IP. D'où le fait que je dise que le mode bridge est bloquant.

Désolé, j'avais en effet oublié ce "détail".

Pour continuer les investigations, je me suis mis en mode bridge. L'adresse 192.168.0.254 ne fonctionne pas en effet, mais la règle reverse proxy :

https://freebox.ndd.tld -> https://mafreebox.freebox.fr  fonctionne très bien.

Avant de passer en mode bridge, j'avais essayé en mode routeur la même règle de reverse proxy, qui fonctionne également.

Conclusion (provisoire) : cette règle peut être généralisée. Pourtant je ne comprends toujours pas pourquoi il faut absolument que la cible de la règle reverse proxy soit en httpS (en HTTP, ça ne marche pas).

Il y a 12 heures, Vinky a dit :

Par contre, je viens de trouver une alternative en ajoutant le ndd du reverse proxy dans le ndd de la freebox.

Excuses moi, mais je ne comprends pas ce que tu as fait.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, 

Je n'ai pas lu l'intégralité des 34 pages de ce tutos, mais je me dis que finalement, le reverse proxy c'est pas vraiment la solution quand on est un amateur....

Je souhaite mettre en place le reverse proxy, pour comme précisé dans le tuto me passer de devoir multiplier les redirections de ports dans le routeur.

Le lien suivant (http://sarakha63-domotique.fr/reverse-proxy-sur-nas-synology-ssl/) est précisé en début de tuto pourtant il y a des différences avec le tuto de ce forum. Le descriptif sur le lien a l'air simple et quand on lit le tuto de ce forum, ça devient compliqué, en particulier avec la méthode du htaccess, où là j'ai complètement décroché. En fait j'en tire la conclusion que le reverse proxy n'est peut-être pas une si bonne solution que ça , surtout quand je vois le nombre d'échanges dans ce tuto et les problèmes rencontrés. 

Modifié par kroumi
Lien vers le commentaire
Partager sur d’autres sites

@kroumi

Bonjour,

Si je peux me permettre, ton jugement sur le TUTO en question est bien sévère. Un très grand nombre de membres ont mis en œuvre ce TUTO sans aucun problème aussi je le défendrai ici.
Au moins lui, a l'avantage d'être complet, ce n'est pas le cas de celui que tu cites.

Malheureusement, bon nombre des problèmes rencontrés par certains ont bien souvent pour origine d'autres paramétrages dans DSM qui viennent à l'encontre de la mise en place correcte du reverse proxy (cela passe par du NAT mal fait dans la box/routeur, du changement de ports standards, des ouvertures/fermetures de ports mal appropriées et j'en passe et des meilleures ...).

Avant de se jeter sur le TUTO, il faut a minima se renseigner sur les notions mises en oeuvre et parfaitement les assimiler sinon on fait des choses sans en comprendre les tenants et aboutissants et là, c'est la porte grande ouverte vers toute sorte de déboires, déceptions et jugements hâtifs.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, kroumi a dit :

Le descriptif sur le lien a l'air simple et quand on lit le tuto de ce forum, ça devient compliqué, en particulier avec la méthode du htaccess, où là j'ai complètement décroché.

Le .htaccess n'a d'intérêt que si tu souhaites rediriger tes requêtes HTTP vers HTTPS, car un proxy inversé est plutôt utilisé en HTTPS qu'en HTTP (au moins pour un accès extérieur). Tu peux parfaitement t'en passer, surtout si tu utilises des favoris pour naviguer.
Le tutoriel que tu as cité, bien qu'intéressant, est moins complet que celui-ci, et tu n'as pas du tout besoin de lire les 34 pages. Si tu as un souci, pose ta question. Tu te doutes bien que sur 34 pages, il y a eu beaucoup de redite, mais on ne peut pas demander aux gens de lire 34 pages de commentaires, à la limite faire une recherche (l'outil est très performant).

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Jeff777 a dit :

Freebox OS/paramètre de la freebox/nom de domaine.

OK très bien, c'est bien là que j'ai regardé et rien n'est configuré. Pourtant ça fonctionne très bien autant en mode routeur qu'en mode bridge et autant de l'intérieur de mon réseau local que de l'extérieur.

Du coup, je crois bien que je vais rester en mode bridge, après avoir testé que tout ce que j'utilise fonctionne bien.

Lien vers le commentaire
Partager sur d’autres sites

Le mode routeur il me sert à connecter le player directement sur la box en ethernet comme cela le router est bypassé. J'ai essayé le mode bridge en filtrant le VLAN100 sur le routeur, ça marche également, mais beaucoup moins bien (ma connexion est un peu faiblarde)

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 21 heures, oracle7 a dit :

@kroumi

Bonjour,

Si je peux me permettre, ton jugement sur le TUTO en question est bien sévère. Un très grand nombre de membres ont mis en œuvre ce TUTO sans aucun problème aussi je le défendrai ici.
Au moins lui, a l'avantage d'être complet, ce n'est pas le cas de celui que tu cites.

Malheureusement, bon nombre des problèmes rencontrés par certains ont bien souvent pour origine d'autres paramétrages dans DSM qui viennent à l'encontre de la mise en place correcte du reverse proxy (cela passe par du NAT mal fait dans la box/routeur, du changement de ports standards, des ouvertures/fermetures de ports mal appropriées et j'en passe et des meilleures ...).

Avant de se jeter sur le TUTO, il faut a minima se renseigner sur les notions mises en oeuvre et parfaitement les assimiler sinon on fait des choses sans en comprendre les tenants et aboutissants et là, c'est la porte grande ouverte vers toute sorte de déboires, déceptions et jugements hâtifs.

Cordialement

oracle7😉

Bonjour,

Merci @oracle7 pour ce ressenti, cela me permet de me rendre compte que mon propos a été mal formulé. J'espère ne pas avoir blessé ceux qui ont contribué au tuto. Je vais essayer de mieux m'exprimer. Etant "débutant" sur l'installation du NAS, comme j'avais décidé de mettre en application le tuto 'reverse proxy', j'ai consulté d'autres sites pour approfondir ce qu'était le reverse proxy (on peut aussi décider d'appliquer le tuto direct, mais j'aime bien comprendre ce que je fais), puis j'ai été voir d'autres forums pour comparer les méthodes d'application. Je trouve alors des 'finitions' qui ne sont pas les mêmes et à vrai dire, je ne sais pas toujours pourquoi (exemple HSTS qui est coché chez certains et pas ici). Le tuto date de 2018, ce qui date, donc peut-être les 'finitions' ne sont plus les mêmes. Je fais donc le constat que lorsqu'on débute, appliquer le reverse proxy n'est pas aisé si on part du principe qu'on applique si on a assimilé le concept. La méthode 'basique' d'ouverture de port par application et de connexion de type NDD:port est (en tout cas pour moi) plus facilement compréhensible. Il n'en demeure pas moins que j'appliquerai le reverse proxy 😇

Et merci  à @.Shad. pour son éclaircissement sur le htaccess, une simple phrase qui m'a fait percuter sur son utilité (je dois être long à la détente 🙂 )

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.