[Tuto] Reverse Proxy

[Jeff777]

@GrOoT64

Salut,

Si tu actives un domaine personnalisé dans Réseau/paramètres DSM et que tu essaie en locale (cela ne marche pas de l'extérieur) tu joins l'application en local et je suppose que c'est directement sans passer par webstation donc par .htaccess. L'activation HSTS c'est curieux...problème de cache peut-être.

[_DR64_]

Il y a 18 heures, Jeff777 a dit :

Si tu actives un domaine personnalisé dans Réseau/paramètres DSM et que tu essaie en locale (cela ne marche pas de l'extérieur)

Bonjour @Jeff777, 
Merci pour ta réponse.
J'arrive à joindre DSM via l'extérieur.
J'ai juste les ports 80 et 443 ouverts vers ce NAS.

Il y a 18 heures, Jeff777 a dit :

L'activation HSTS c'est curieux...problème de cache peut-être.

Effectivement, j'ai testé et retesté, j'arrive bien maintenant en https sur ma cible ;)

[Jeff777]

il y a 2 minutes, GrOoT64 a dit :

J'arrive à joindre DSM via l'extérieur.

Bonjour

Ah bon !! Il s'agit du paramètre panneau de config/réseau/paramètres DSM/domaine ? Depuis l'extérieur, sans activation du VPN ??

[_DR64_]

C'est DSM7 donc un peu différent mais c'est plus ou moins la même chose :

[Jeff777]

Ah avec DSM7!  Le paramétrage de ta copie d'écran n'existe pas sur DSM6.

Le fonctionnement du domaine personnalisé sur DSM7 semble différent de celui de DSM6 qui ne fonctionne quand local (sauf erreur 🙄).

Il faudrait poser la question sur le post DSM7.

 

Modifié le 11 novembre 2020 par Jeff777

[_DR64_]

Merci pour tes réponses @Jeff777. Je pense que DSM6 et 7 fonctionnent exactement pareil sur ce sujet. 
Sachant que j'ai les 2, le petit "i" à droite de domaine personnalisé sur ma capture indique exactement la même chose sur les deux versions de DSM.

Dans tous les cas, je pense que mon problème est résolu.

[Jeff777]

il y a 16 minutes, GrOoT64 a dit :

Je pense que DSM6 et 7 fonctionnent exactement pareil sur ce sujet. 
Sachant que j'ai les 2, le petit "i" à droite de domaine personnalisé sur ma capture indique exactement la même chose sur les deux versions de DSM.

Je suis très surpris.

En tout cas chez moi je n'ai pas le portail de connexions dans le panneau de config (DS218+ et DSM 6.2-25426)

D'après ce que tu me dis, cela signifierait que pour un accès externe l'on peut se passer du paramétrage des proxy inversés et du .htaccess et remplacer cela par des domaines personnalisés en cochant la case HSTS ???😜

Qu'est-ce que tu as mis dans ton domaine personnalisé du DSM : ton ancien proxy-inversé??

 

Modifié le 11 novembre 2020 par Jeff777

[_DR64_]

il y a 4 minutes, Jeff777 a dit :

Qu'est-ce que tu as mis dans ton domaine personnalisé du DSM : ton ancien proxy-inversé??

Oui tout à fait. En supprimant le proxy avant sinon DSM ne veut pas.

[_DR64_]

En gros j'ai ça sans reverse proxy : 

J'ai évidement une redirection chez mon fournisseur de domaine "OVH" et un certificat de sécurité qui va bien.
J'ai également mon serveur DNS Local qui renvoi chaque domaine vers le NAS en question.

Si je fais des tests de redirections sur le site : http://www.redirection-web.net/

J'obtiens les résultats suivants :

Redirection vers mon DSM sur NAS principal (ports 80 et 443 ouverts )
http://monnasprincipal.ndd.tld --> Redirection 301 --> https://monnasprincipal.ndd.tld (case HSTS cochée)

Redirection vers Video Station (NAS Principal)
http://videos.ndd.tld --> Redirection 301 --> https://videos.ndd.tld (case HSTS cochée)

Redirection vers NAS2 (via reverse proxy)
http://nas2.ndd.tld --> Redirection 302 --> https://nas2.ndd.tld (case HSTS du NAS2 non cochée)

       Paramètres du RP : 
      https://nas2.ndd.tld:443 --> http://192.168.x.x:80 
 

[Jeff777]

En fait j'avais oublié. Dans DSM6 on peut aussi avoir des domaines personnalisés pour chaque application. C'est dans portail des applications/applications.

Par contre ça reste du local pour moi !

Si @Einsteinium pouvait nous dire ce qu'il en pense. Je n'ai pas vu cette possibilité dans les présentations de DSM7

Modifié le 11 novembre 2020 par Jeff777

[Joooooon]

Bonjour à tous,

J'ai suivi avec attention le tuto sur "comment sécuriser les accès à son nas"

et je suis maintenant en train de m'attaquer à la partie reverse proxy afin de pouvoir accéder à mes services depuis l'extérieur de la façon la plus sécurisé possible.

En tout cas un grand merci à tous pour l'aide que vous apportez aux personnes qui galère un peu.

J'ai configuré mes applications depuis : Portail des applications / Application
J'ai configuré un port http personnalisé, un nom de domaine personnalisé du style : service.ndd.tld et activé http/2

Le résultat est que j'arrive bien à accéder à tous mes services depuis l'extérieur via l'adresse suivante : https://service.ndd.tld
Le problème est que j'arrive également à accéder à mes services depuis http://service.ndd.tld
Je souhaite donc mettre en place une redirection http => https

Questions:

1. Y a t'il une différence / limitation entre configurer un nom de domaine personnalisé dans les applications et configurer un reverse proxy
    
2. Pour la redirection http => https j'ai vu qu'il y avait plusieurs possibilités
   1. Installer Web Station, installer un serveur Apache et utiliser un .htaccess
   2. Installer Web Station, installer un serveur Apache et utiliser du code php
   3. Installer Web Station et modifier le template mustache du serveur nginx (de ce que j'ai compris c'est l'équivalent du 1 mais pour nginx)
      https://techjogging.com/redirect-http-to-https-in-synology-nas-nginx.html
      
      Y a t'il une méthode à privilégier plutôt qu'une autre?
       
3. Un membre avait posé la question mais il ne me semble pas avoir vu de réponse.
   Est-ce que si on est en local et qu'on utilise l'adresse http(s)://service.ndd.tld on sort du réseau local pour y re-rentrer ? Ou bien on reste en local.
   Après quelques tests je pense qu'on reste en local. En effet en local je peux accéder à http(s)://service.ndd.tld:5000 alors qu'avec un partage de connexion 4G avec mon téléphone non.

Merci d'avance pour vos réponses

[oracle7]

@Joooooon

Bonjour,

il y a 29 minutes, Joooooon a dit :

Le problème est que j'arrive également à accéder à mes services depuis http://service.ndd.tld

Si tu as coché la case "Rediriger automatiquement" les connexions HTTP vers HTTPS pour le bureau DSM" dans "Panneau de configuration / Réseau / Paramètres de DSM" alors c'est normal. Néanmoins cette case devrait être décochée car elle est la cause de problèmes avec le Reverse proxy dont elle casse le mécanisme.

Il est donc préférable et recommandé de la décocher et d'utiliser l'une ou l'autre des deux méthodes que tu indiques aux points 2.1 et 2.2 ci-avant. Perso j'utilise les deux en même temps.

(valable pour le Point 2) Code PHP ou fichier .htaccess a priori peut importe, ils font la même chose. Tu prends celui dont tu maîtrises le langage si d'aventure tu as besoin de lui faire faire d'autres actions ou de configurer des cas particuliers liés (par exemple pour PhotoStation utilisé avec le reverse proxy).

Point 1 : Perso je préfère passer par le reverse proxy car en plus, je peux appliquer un profil spécifique qui me permet de restreindre encore plus les conditions d'usage que l'on fait d'un xxxx.ndd.tld. (ex mes xxxx.ndd.tld ne fonctionnent qu'au travers d'un VPN actif pour une connexion depuis l'extérieur mais sans problème si je suis en local.

De plus sauf erreur de ma part, le TUTO préconise de n'activer que le port HTTP de l'application.

Point 3 : Tu répond tout seul à ta question.

Cordialement

oracle7😉

[Drickce Kangel]

Il y a 7 heures, oracle7 a dit :

 

Point 1 : Perso je préfère passer par le reverse proxy car en plus, je peux appliquer un profil spécifique qui me permet de restreindre encore plus les conditions d'usage que l'on fait d'un xxxx.ndd.tld. (ex mes xxxx.ndd.tld ne fonctionnent qu'au travers d'un VPN actif pour une connexion depuis l'extérieur mais sans problème si je suis en local.

 

@oracle7 c'est exactement ce que je veux faire, quel est ton paramétrage?

J'aurai souhaité qu'en local je puisse utiliser mon xxx.ndd.tld et ne l'utiliser QUE via un VPN sur une connexion externe (ce qui 'nest pas mon cas actuellement).

 

Il y a 8 heures, Joooooon a dit :

Un membre avait posé la question mais il ne me semble pas avoir vu de réponse.
Est-ce que si on est en local et qu'on utilise l'adresse http(s)://service.ndd.tld on sort du réseau local pour y re-rentrer ? Ou bien on reste en local.
Après quelques tests je pense qu'on reste en local. En effet en local je peux accéder à http(s)://service.ndd.tld:5000 alors qu'avec un partage de connexion 4G avec mon téléphone non.

Perso, avec ma 4G (iOS 14) impossible d'accéder aux applications avec le VPN (si si, je suis sérieux), accessible uniquement sans VPN (tout ce que je ne veux pas).

Modifié le 10 décembre 2020 par Drickce Kangel

[Joooooon]

Il y a 6 heures, oracle7 a dit :

Si tu as coché la case "Rediriger automatiquement" les connexions HTTP vers HTTPS pour le bureau DSM" dans "Panneau de configuration / Réseau / Paramètres de DSM" alors c'est normal. Néanmoins cette case devrait être décochée car elle est la cause de problèmes avec le Reverse proxy dont elle casse le mécanisme.

C'est bien décoché chez moi.

Le résultat est que j'arrive bien à accéder à tous mes services depuis l'extérieur via l'adresse suivante : https://service.ndd.tld => Mon routeur redirige le port 443 vers mon nas (cf tuto)
Le problème est que j'arrive également à accéder à mes services depuis http://service.ndd.tld => Normal mon routeur redirige également le port 80 vers mon nas (cf tuto)

Il faut donc que je mette en place la redirection http => https

Il y a 6 heures, oracle7 a dit :

De plus sauf erreur de ma part, le TUTO préconise de n'activer que le port HTTP de l'application.

Effectivement pour éviter le double chiffrement (qui est inutile) il est nécessaire de n'activer que le port HTTP, ce que j'ai également fait.
Et comme tu peux le voir également il est aussi possible d'utiliser les profils de contrôle via l'onglet Application 😉

 

Il y a 6 heures, oracle7 a dit :

(valable pour le Point 2) Code PHP ou fichier .htaccess a priori peut importe, ils font la même chose. Tu prends celui dont tu maîtrises le langage si d'aventure tu as besoin de lui faire faire d'autres actions ou de configurer des cas particuliers liés (par exemple pour PhotoStation utilisé avec le reverse proxy).

Je ne maitrise aucun des 2 languages mais c'est exactement ce que je veux faire pour le cas particulier de Photo Station car pour le moment je n'y accède que par https://ndd.tld/photo alors que je souhaiterais utiliser https://photo.ndd.tld

Je vais essayer de mettre ça en place ce soir

Modifié le 9 décembre 2020 par Joooooon

[Joooooon]

Alors pour info j'ai réussi à tout mettre en place avec succès.
Par contre j'ai du modifier certaines choses.

J'ai installé Web Station, installé Apache HTTP Server 2.4 et j'ai ajouté le fichier .htaccess suivant :

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$ https://ndd.tld/photo [L,R=301]

Cette configuration permet de faire la redirection http => https et http(s)://photo.ndd.tld => https://ndd.tld/photo

J'ai donc rajouté un reverse proxy Photo Station : https://photo.ndd.tlm => http://localhost

Résultats: 🎉

http://photo.ndd.tlm => https://ndd.tlm/photo
https://photo.ndd.tlm => https://ndd.tlm/photo

Pour les autres services configurés dans application : 😡

http://service.ndd.tlm => http://service.ndd.tlm 

J'ai donc reconfiguré mes autres services pour les remplacer par un vrai reverse proxy : 🎉

http://service.ndd.tlm => https://service.ndd.tlm

 

Pour conclure je vais répondre à ma propre question :

Il y a 6 heures, Joooooon a dit :

Y a t'il une différence / limitation entre configurer un nom de domaine personnalisé dans les applications et configurer un reverse proxy

Oui apparemment, je ne sais pas laquelle mais la redirection http => https d'un service configuré dans application via le fichier .htaccess ne semble pas fonctionner ou tout du moins pas avec ce fichier .htaccess

Modifié le 9 décembre 2020 par Joooooon

[Joooooon]

J'ai découvert le site suivant pour tester les rewrite rules dans le fichier .htaccess : https://htaccess.madewithlove.be

Après plusieurs tests je me suis rendu compte que la redirection http => https ne s'effectuait jamais avec le status code 301
Ne métrisant pas du tout cette aspect je me demande si c'est voulu? Car effectivement on ne change que le http en https alors que pour Photo Station on change réellement l'adresse.

Pour effectuer une redirection avec status code 301 dans tous les cas :

RewriteEngine on

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$ https://ndd.tld/photo [L,R=301]

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

[Jeff777]

Il y a 8 heures, Joooooon a dit :

http://service.ndd.tlm => https://service.ndd.tlm

Bonjour @Joooooon

Je n'ai pas tout lu dans ce post, mais ce qu'il y a au dessus me fait réagir ?

C'est le contraire qu'il faut mettre dans les proxies inversés  https =====> http

Explication :sur le réseau extérieur il faut se connecter en https pour avoir une liaison sécurisée. A l'intérieur sur le LAN tu peux rester en http ça ne risque rien et il n'y a pas d'intérêt à chiffrer la liaison une deuxième fois, bien que tu puisses le faire.

Une requête qui n'est pas en http sera transformée en https avec ton .htaccess (lignes 2 et 3) avant d'être redirigée par le reverse. Et les deux autres lignes du .htaccess rajoutent le sous répertoire /photo pour ne pas avoir à l'écrire.

Reprends tous tes reverses avec http à gauche et https à droite !

Edit : je fais référence à ton avant dernier post. Le htaccess du dernier n'est pas correcte

Modifié le 10 décembre 2020 par Jeff777

[oracle7]

@Joooooon

Bonjour,

En complément des remarques judicieuses de @Jeff777 sur l'ordre des redirections en reverse proxy, pour pouvoir accéder directement à photo station en https il faut activer le websocket dans la redirection du reverse proxy :

sur l'onglet « En-tête personnalisé », cliquer sur « Créer » et sélectionner « Websocket »

maintenant tu peux accéder en HTTPS via  https://photo.ndd.fr/photo

Pour le fichier ".htaccess" il me semble qu'il faut qu'il soit plutôt dans cet ordre :

Citation

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$

RewriteRule ^$  https://photo.ndd.tld/photo [L,R=301]

SInon essaies avec un fichier PHP (nommé "index.php") tel que :

Citation

<?php

// 307 Temporary Redirect

$http_host=$_SERVER['HTTP_HOST'];

switch ($http_host) {

  case "photo.ndd.fr":

         header("Location: https://$http_host/photo",TRUE,307);

         break;

  default:

         header("Location: https://$http_host:5001",TRUE,307);

  }      

exit;

?>

Cordialement

oracle7😉

[Jeff777]

Eh oui pardon? . On va récapituler.

Reverse proxy : https://photo.ndd.tld ==>http:// IPLOCALNAS

Je n'ai pas le web socket d'activé.

.htaccess :

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$ https://photo.ndd.tld/photo [L,R=301]
 

Essaie les deux solutions (avec ou sans websocket) et tu nous diras ce qui fonctionne  😆

 

Modifié le 10 décembre 2020 par Jeff777

[Joooooon]

Bon j'avoue que je suis un peu embrouillé et je n'ai pas très bien compris ce que j'ai fait de mal.
Du coup je refais le point sur la configuration mise en place

Redirections de port de mon routeur

• port externe 80 => port interne 80 vers mon NAS
• port externe 443 => port interne 443 vers mon NAS

Configuration des applications

Configuration du Reverse Proxy

Jusque là je pense avoir juste (du moins j'espère)

http://service.ndd.tld => Web Station
https://service.ndd.tld => reverse proxy => http://localhost:<port>

Les connexions HTTP arrive sur Web Station, ce qui est normal vu que Web Station écoute sur le port 80 et que je redirige le port externe 80 vers le port interne 80 de mon NAS via la redirection de port de mon routeur.
Je souhaite donc rediriger automatiquement les connexions HTTP vers HTTPS, pour cela j'utilise un fichier .htaccess dans Web Station

Fichier .htaccess

RewriteEngine on

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$ https://ndd.tld/photo [L,R=301]

http://service.ndd.tld => htaccess => https://service.ndd.tld => reverse proxy => http://localhost:<port>
https://service.ndd.tld => reverse proxy => http://localhost:<port>

Cas particulier de Photo Station

http://photo.ndd.tld => htaccess =>https://ndd.tld/photo
https://photo.ndd.tld => reverse proxy => http://localhost => htaccess =>https://ndd.tld/photo

C'est peut être là que je me suis foiré ?

Citation

https://photo.ndd.tld => reverse proxy => http://localhost => htaccess =>https://ndd.tld/photo

 

Modifié le 10 décembre 2020 par Joooooon

[Jeff777]

Il y a 7 heures, Jeff777 a dit :

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$ https://photo.ndd.tld/photo [L,R=301]

Il faut garder photo.ndd.tld dans le deuxième ligne

[Joooooon]

Il y a 10 heures, Jeff777 a dit :

Il faut garder photo.ndd.tld dans le deuxième ligne

OK mais je comprends pas pourquoi il y a une différence entre :

https://ndd.tld/photo
https://photo.ndd.tld/photo

ou même : https://service.ndd.tld/photo

car les 2 fonctionne 

Moi j'ai choisi https://ndd.tld/photo pour le coté esthétique 🙂
Est-ce que d'un point de vu sécurité ou autre il est préférable de choisir  https://photo.ndd.tld/photo ?

 

Il y a 17 heures, Jeff777 a dit :

Je n'ai pas le web socket d'activé.

De mon coté il n'est pas non plus nécessaire d'activer web socket. Ca fonctionne très bien sans.

Modifié le 11 décembre 2020 par Joooooon

[Jeff777]

 

Pour 1 et 2 tu as raison. Chez moi c'est un peu spécial car j'ai un photostation sur chaque nas avec des reverse proxies, il faut donc que je les distingue (photo.ndd.tld photo2.ndd.tld). Peut-être que dans ton cas cela fonctionne faut essayer.

Arrives tu à un résultat c'est bien là l'essentiel ?

Modifié le 11 décembre 2020 par Jeff777

[Joooooon]

Oui oui tout fonctionne à merveille et je comprends mieux maintenant. Merci beaucoup.

Le 3 je l'ai retiré de mon message car je me suis rendu compte qu'au final ça ne fonctionnait pas et c'est normal.

En tout cas maintenant grâce à vous je suis sur une base saine pour commencer à bien exploiter mon NAS de façon sereine et surtout sécurisé.

[Jeff777]

Content pour toi 😉

il y a 23 minutes, Joooooon a dit :

De mon coté il n'est pas non plus nécessaire d'activer web socket. Ca fonctionne très bien sans.

Je ne sais pas pourquoi @oracle7 a besoin de cela !