[Tuto] Reverse Proxy

[Jeff777]

Bonjour @Diabolomagic,

La fonction rechercher en haut à droite a un menu lorsque tu cliques dans la fenêtre qui permet beaucoup de chose. Si tu cherches dans le tuto il faut sélectionner dans ce sujet.

il y a 41 minutes, Diabolomagic a dit :

Hors dite moi si je me trompe mais je ne peux pas rajouter quoi que ce soit à mon adresse https://***.synology.me dans ce style ---> https://download.***.synology.me

Oui tu peux faire cela avec le reverse proxy , la méthode est expliquée dans ce tuto en première page. Et c'est gratuit !

Modifié le 15 décembre 2020 par Jeff777

[fm76]

Le 13/12/2020 à 22:20, Jeff777 a dit :

Bon @fm76 tu as tes réponses 🙂

Bonjour Jeff777,

je ne comprends pas ta question.

Une zone DNS (OVH dans mon cas) publiée sur Internet est obligatoirement une Zone DNS Publique ?

Dans cette zone DNS OVH, j'ai par exemple des sites webs accessibles sur Internet.

Effectivement j'ai peut-être tout faux depuis le début et il faut que je crée une autre zone DNS privée ?

 

Merci pour tes conseils

Cordialement

[fm76]

Le 14/12/2020 à 16:48, Jeff777 a dit :

Si tu as plusieurs domaines ils ont forcément des noms différents ndd1.com ndd2.com etc...

Quand tu parles de zone DNS ndd.com c'est ta zone privée, publique, sur ton NAS, chez OVH ?

 

Bonjour Jeff777,

je te confirme n'avoir qu'un seul domaine avec une seule zone DNS chez OVH.

Dans cette même zone, j'utilise des résolutions de noms d'hôtes pour un site hébergé chez OVH et mes CNAME pour plusieurs Synology.

C'est peut-être la source de mes problèmes ?

Il faut peut-être que je créé plusieurs zone DNS ?

Merci pour tes conseils.

Cordialement,

[Jeff777]

@fm76

Effectivement dans le TUTO, il est indiqué de réaliser le CNAME sur ndd.com plutôt que nas.ndd.com

Le problème est que dans ma zone DNS ndd.com, j'ai plusieurs hôtes qui sont situés dans différents lieux physiques et utilise différentes BOX (ou @IP publique) + site hébergé chez OVH www.ndd.com

Sans doute, il faut que je créé plusieurs zones DNS ou alors si cela est possible un sous domaine synology.ndd.com

Il faut forcément créer plusieurs zones car les noms de domaines seront différents ndd1 et ndd2 par exemple.

ndd1 et ndd2 c'est ce que tu déclares en ddns (tu attribues un nom à une adresse IP). Tu as deux domaines donc 2 adresses IP. Donc deux noms différents.

Modifié le 15 décembre 2020 par Jeff777

[Diabolomagic]

Il y a 1 heure, Jeff777 a dit :

Bonjour @Diabolomagic,

La fonction rechercher en haut à droite a un menu lorsque tu cliques dans la fenêtre qui permet beaucoup de chose. Si tu cherches dans le tuto il faut sélectionner dans ce sujet.

Oui tu peux faire cela avec le reverse proxy , la méthode est expliquée dans ce tuto en première page. Et c'est gratuit !

Mea Culpa, je n'avais pas fait le point VII car je pensais que c'était uniquement si l'on avait un site web.

Toutes mes excuses.

C'est très certainement ce qu'il manque à ma configuration.

Modifié le 15 décembre 2020 par Diabolomagic

[Diabolomagic]

Il y a 16 heures, Jeff777 a dit :

Bonjour @Diabolomagic,

La fonction rechercher en haut à droite a un menu lorsque tu cliques dans la fenêtre qui permet beaucoup de chose. Si tu cherches dans le tuto il faut sélectionner dans ce sujet.

Oui tu peux faire cela avec le reverse proxy , la méthode est expliquée dans ce tuto en première page. Et c'est gratuit !

Beaucoup mieux avec ce dernier point effectivement ! Un grand merci aux acteurs de ce tuto !

[Diabolomagic]

Tout fonctionne c'est top, par contre du coup j'ai trois questions pour finir de "peaufiner" l'installation.

1- Dans quels cas doit on activer Web Socket ? Intuitivement je dirai non concernant audio station, download station et file station et oui pour surveillance station mais sans savoir expliquer pourquoi.

2- Question un peu ambiguë également mais je m'explique, je souhaiterai pouvoir dire que l'utilisateur "toto" peut ouvrir audio station via le LAN ou en passant par VPN Plus mais qu'audio station lui refuse l'accés s'il tente de s'authentifier via https://audio.ndd.fr et en revanche dire que l'utilisateur "jacques" peut s'authentifier sur audio station par tous les moyens existants (LAN avec application audio station sur tablette, via le VPN (VPN plus) via l'url https://audio.ndd.fr/  ....etc

mais avec double authentification (google authentificator) dans ce cas spécifique. Je n'ai pas trouvé comment faire cela ? Possible ?

3- Je souhaite me  connecter à photo station. Est il possible de faire en sorte que https://ndd.fr/photo ne fonctionne plus et que seul https://photo.ndd.fr fonctionne ?

Dans le cas présent j'ai la configuration suivante :

https://audio.ndd.fr/
https://surveillance.ndd.fr/
https://file.ndd.fr/
https://download.ndd.fr/

et aussi bizarre que cela soit :

https://ndd.fr/photo

Çà fonctionne mais ça fait un peut tâche et ça manque de cohérence.

[oracle7]

@Diabolomagic

Bonjour,

Q1 --> Plusieurs membres sur le forum ont indiqué que pour Photo Station il fallait activer le Websocket mais malheureusement sans expliquer pourquoi (du moins je n'ai pas vu l'explication). Toujours est-il que c'est un fait qui s'avère nécessaire.

Q2 --> Regardes du coté des profils d'accès dans le reverse proxy pour autorisé ou non le LAN et/ou le VPN et refuser tout le reste.

Q3 --> Oui avec une redirection dans le reverse proxy associée à une modification du fichier ".htaccess" tel que :

Paramétrage général :
Coté NAS :
•	Reverse proxy : https://photo.ndd.tld => http://localhost:80
•	Serveur DNS Local : CNAME photo.ndd.tld => ns.ndd.tld (pour la résolution locale)
•	Pour s'affranchir du "/photo", cela va se passer au niveau du .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$  https://photo.ndd.tld/photo [L,R=301]
Coté OVH (zone DNS) :
•	CNAME photo.ndd.tld => ndd.tld

sans oublier d'activer le Websocket dans la redirection du reverse proxy.

Voilà c'est tout "simple" ...🤪

Cordialement

oracle7😉

[Diabolomagic]

J'en retient que cela va être une partie de plaisir ! (panic mode = ON !!!!) 😁

[Diabolomagic]

Il y a 2 heures, oracle7 a dit :

@Diabolomagic

Q2 --> Regardes du coté des profils d'accès dans le reverse proxy pour autorisé ou non le LAN et/ou le VPN et refuser tout le reste.
j'ai peut être une petite idée bien moins contraignante, est-ce possible de n'autoriser que les utilisateurs appartenant au groupe "http" à utiliser les URLs via le reverse proxy ? et comment puis je m'y prendre ?

 

Modifié le 16 décembre 2020 par Diabolomagic

[oracle7]

@Diabolomagic

Bonjour,

1. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).
    

2. il y a 15 minutes, Diabolomagic a dit :

   est-ce possible de n'autoriser que les utilisateurs appartenant au groupe "http" à utiliser les URLs via le reverse proxy ? et comment puis je m'y prendre ?

   Avec le profil de contrôle d'accès on ne peut autoriser/interdire que des @IP spécifiques et/ou que des sous-réseaux pour une redirection donnée du reverse proxy et cà, c'est pour l'accès à l'usage des applications du NAS.
   Après pour l'accès aux dossiers partagés du NAS tu ne peux que jouer sur les droits que tu attribues ou non aux utilisateurs (NA > RW > R).
   Ce que tu suggères serait un mixte des deux, à ma connaissance ce n'est pas possible mais je peux me tromper. Pour moi tu ne peux que jouer sur un tableau à la fois a priori.
   Cela, il faut bien poser le problème de ce que tu veux autoriser/interdire l'accès à qui et à quoi. Après, on doit pouvoir concrétiser cela ...

Cordialement

oracle7😉

[Diabolomagic]

@oracle7

Bonsoir Oracle, Merci pour l'astuce 🙂

OK, Je vais poser la question au support Synology, sait-on jamais. Je souhaite vraiment que les utilisateurs amenés à utiliser les diverses applications du NAS via les URLs du reverse proxy soient obligés de s'authentifier avec mot de passe + google authenticator. Je trouve cela plus sûre, je ne sais pas si cela tient de la crise de paranoïa mais c'est quand même sa vie privée complète qu'il y a la plupart du temps sur son NAS.

Encore merci à toi pour ton aide, bonne soirée 🙂

Modifié le 16 décembre 2020 par Diabolomagic

[Laurent_8]

Salut à tous, et merci beaucoup pour le tuto, j'utilise le reverse proxy depuis longtemps et c'est fort pratique. Grace à ça j'ai grandement diminuer les redirection de port dans mon router et les complications avec tous les port différent, mais il me reste encore le service SFTP et OpenVPN, est-il possible de faire passer ses applications par le reverse proxy ou c'est uniquement possible avec le protocole https ?

[oracle7]

@Dark-Spirit

Bonjour,

il y a 18 minutes, Dark-Spirit a dit :

mais il me reste encore le service SFTP et OpenVPN, est-il possible de faire passer ses applications par le reverse proxy ou c'est uniquement possible avec le protocole https ?

Tu peux préciser ta pensée car là j'ai un peu de mal à voir ce que tu veux faire ? Pour mémoire, SFTP et OpenVPN sont des protocoles réseau et pas des applications, alors ????

Cordialement

oracle7😉

[Laurent_8]

Il y a 12 heures, oracle7 a dit :

@Dark-Spirit

Bonjour,

Tu peux préciser ta pensée car là j'ai un peu de mal à voir ce que tu veux faire ? Pour mémoire, SFTP et OpenVPN sont des protocoles réseau et pas des applications, alors ????

Cordialement

oracle7😉

Tu as raison, ce ne sont pas des applications, et je pense que le reverse proxy fonctionne uniquement pour les applications.

Ce que je voudrais c'est accèder à mon serveur SFTP via un lien "sftp.ndd.com" en passant par le port 443 https. Pour éviter d'avoir à ouvrir un port spécifique au SFTP dans mon router.

Idem pour le vpn, actuellement j'ai le port 1194 ouvert dans le router pour le VPN, je voudrais donc faire passer le VPN par le Https 443 et le redirigé sur le serveur VPN grâce au reverse proxy.

[_DR64_]

Bonjour @Dark-Spirit,

Il y a 1 heure, Dark-Spirit a dit :

Ce que je voudrais c'est accèder à mon serveur SFTP via un lien "sftp.ndd.com" en passant par le port 443 https. Pour éviter d'avoir à ouvrir un port spécifique au SFTP dans mon router.

Idem pour le vpn, actuellement j'ai le port 1194 ouvert dans le router pour le VPN, je voudrais donc faire passer le VPN par le Https 443 et le redirigé sur le serveur VPN grâce au reverse proxy.

Pas possible. Le reverse proxy ne fonctionne qu'avec des applications utilisant le protocole HTTP/HTTPS
Il va donc falloir que tu ouvres le port spécifique au SFTP et au VPN en plus.

[.Shad.]

Il y a 4 heures, Dark-Spirit a dit :

Tu as raison, ce ne sont pas des applications, et je pense que le reverse proxy fonctionne uniquement pour les applications.

Ce que je voudrais c'est accèder à mon serveur SFTP via un lien "sftp.ndd.com" en passant par le port 443 https. Pour éviter d'avoir à ouvrir un port spécifique au SFTP dans mon router.

Idem pour le vpn, actuellement j'ai le port 1194 ouvert dans le router pour le VPN, je voudrais donc faire passer le VPN par le Https 443 et le redirigé sur le serveur VPN grâce au reverse proxy.

C'est possible mais très spécifique, ça s'appelle SSLH.
Un article qui en parle clairement : https://ostechnix.com/sslh-share-port-https-ssh/

En gros, c'est SSLH qui écoute sur le port 443, puis redirige vers SSH ou SSL (proxy inversé) suivant la requête. C'est en amont du proxy inversé.

La même chose est faisable avec OpenVPN, je crois que c'est ce que @Mic13710 a mis en place, dans les faits je pense que c'est se fatiguer pour pas grand chose. Le données circulant sur le port 1194 sont de toute façon chiffrées. L'intérêt que tu peux avoir à passer sur le port HTTPS pour OpenVPN c'est d'être en TCP et pas UDP. C'est plus stable, mais moins rapide généralement (les paquets arrivés à destination renvoient l'information qu'ils sont bien arrivés, UDP ne le permet pas). On ne parle pas de quelque chose de facilement discernable à l'usage.

Concrètement on s'en sert quand on est sur une connexion qui bloque des ports de destination autres que 443 et 80 par exemple, ça arrive dans certains wifi surveillés et bien cadenassés, ou en entreprise. C'est quand même pas fréquent. A moins d'être dans ce cas-là je ne vois pas d'intérêt réel.

@GrOoT64 a tout de même raison dans le sens où le proxy inversé ne sert à rien pour OpenVPN. J'apportais juste la nuance concernant la possibilité de "partager" le port 443.

Modifié le 21 décembre 2020 par .Shad.

[Mic13710]

Il y a 3 heures, .Shad. a dit :

La même chose est faisable avec OpenVPN, je crois que c'est ce que @Mic13710 a mis en place, dans les faits je pense que c'est se fatiguer pour pas grand chose.

Effectivement, j'utilise le 443 pour mon NAS. Et contrairement à ce que tu dis, on se fatigue moins puisqu'il n'y a pas de port 1194 à ouvrir 😉.

Je ne fais pas de transferts de fichiers pour pouvoir juger de la vitesse. Je ne l'utilise pratiquement que pour accéder à DSM, à mon routeur et à Unifi à distance. Je passe aussi par L2TP/IPsec.

Mais le plus souvent j'utilise le 1194 lorsque je paramètre les NAS des autres pour que ce soit plus clair pour eux lorsqu'ils font leur maintenance.

Honnêtement, je ne vois aucune différence de fonctionnement du VPN entre le 443 et le 1194.

[Laurent_8]

il y a 10 minutes, Mic13710 a dit :

Effectivement, j'utilise le 443 pour mon NAS. Et contrairement à ce que tu dis, on se fatigue moins puisqu'il n'y a pas de port 1194 à ouvrir 😉.

Je ne fais pas de transferts de fichiers pour pouvoir juger de la vitesse. Je ne l'utilise pratiquement que pour accéder à DSM, à mon routeur et à Unifi à distance. Je passe aussi par L2TP/IPsec.

Mais le plus souvent j'utilise le 1194 lorsque je paramètre les NAS des autres pour que ce soit plus clair pour eux lorsqu'ils font leur maintenance.

Honnêtement, je ne vois aucune différence de fonctionnement du VPN entre le 443 et le 1194.

Est-ce que tu as un tuto ou est-ce que tu peux m'expliquer comment faire dans les grande lignes ?
La raison est surtout de simplifier et de diminuer le nombre de port utilisé, c'est beaucoup plus pratique de faire avec des sous domaines que chaque fois utiliser et se souvenir du no de port. Je souhaiterais le faire pour OpenVPN et SFTP si possible.

Concernant la vitesse, je ferai des test avec OpenVPN, j'ai remarqué qu'avec le TCP je suis plus rapide qu'avec UDP, ce qui est pas très logique mais bon, ce n'est pas la question.

[Mic13710]

Rien de bien compliqué. Il suffit de spécifier dans Open VPN le port 443 comme port de connexion. Le fichier OpenVPN qui sera généré indiquera ce port pour le remote.

Si Open VPN est actif, on change le port de 1194 à 443 dans la configuration et on fait de même dans le fichier xxxxxx.ovpn

Je suis en UDP.

[.Shad.]

@Mic13710

Ok je comprends mieux, j'étais persuadé que tu étais en TCP, quand on passe sur ce port c'est souvent parce qu'on veut une liaison VPN en TCP et pour les raisons de blocage dont j'ai parlé plus haut.

Mais en UDP ce n'est plus le même port que le 443 TCP, on économise une ligne mais ce sont bien deux ports distincts dans chaque cas.

@Dark-Spirit pour l'UDP et le TCP : https://openvpn.net/faq/why-does-openvpn-use-udp-and-tcp/

[Laurent_8]

Le 21/12/2020 à 14:42, Mic13710 a dit :

Rien de bien compliqué. Il suffit de spécifier dans Open VPN le port 443 comme port de connexion. Le fichier OpenVPN qui sera généré indiquera ce port pour le remote.

Si Open VPN est actif, on change le port de 1194 à 443 dans la configuration et on fait de même dans le fichier xxxxxx.ovpn

Je suis en UDP.

Super merci, ça marche ! Je suis bien en UDP avec le port 443 et tout fonctionne.

Pour HyperBackup, j'ai testé avec le Reverse Proxy mais ça ne fonctionne pas à travers le port 443, y'aurait-t-il une solution ?

 

Modifié le 23 décembre 2020 par Dark-Spirit

[Bandino]

Bonjour.

Merci infiniment pour ce tuto qui répond, même deux ans après,  à toutes les questions que je me posais.

Je rencontre néanmoins un problème:

J'ai suivi toutes les étapes, créé un ndd chez ovh avec un lien type A vers mon IP fixe chez Free, ouvert les ports 80 et 443 vers mon nas, configuré les sous domaines avec le reverse proxy.

Donc, si j'essaie d'y accéder en https, (https://audio.ndd.fr par exemple), ça fonctionne avec un message d'avertissement, puisque je n'ai pas encore de certificat.

Si j'essaie d'y accéder en http, je suis redirigé vers freeboxos. (Et je pense d'ailleurs que c'est pour cela que je n'arrive pas à obtenir de certificat).

Qu'est ce que j'ai pu louper au passage??

Merci d'avance de votre aide.

 

[oracle7]

@Bandino

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

2. Quand tu dis :

   il y a 10 minutes, Bandino a dit :

   ouvert les ports 80 et 443 vers mon nas

   on est bien d'accord, en fait tu as redirigé ces ports de ta box vers ton NAS ? (on ne parle pas ici d'ouverture de ports dans le pare-feu de la box).

3. As-tu aussi ouvert/autorisé les ports 80 et 443 dans le pare-feu de ton NAS ?

Cordialement

oracle7😉

[Bandino]

il y a 1 minute, oracle7 a dit :

@Bandino

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

    

2. Quand tu dis :

   on est bien d'accord, en fait tu as redirigé ces ports de ta box vers ton NAS ? (on ne parle pas ici d'ouverture de ports dans le pare-feu de la box).

3. As-tu aussi ouvert/autorisé les ports 80 et 443 dans le pare-feu de ton NAS ?

Cordialement

oracle7😉

Bonjour Oracle.

Je me suis bien présenté au monde juste après avoir posté ici 😉

Oui, j'ai bien fait un redirection des ports 80 et 443 vers le nas via freeboxos.

J'ai désactivé le pare-feu du nas pour l'instant pour vérifier ma config ( pas bien! ).