[Tuto] Reverse Proxy

[.Shad.]

@Mic13710 Alors je viens effectivement de vérifier l'histoire des niveaux, en effet tu as raison. Le * de *.ndd.tld n'est valable que le 1er niveau.

Donc oui :

@HugOil 

Tu remplaces l'enregistrement :

*.hurion.ovh            CNAME            nas.hurion.ovh

par :

*.nas.hurion.ovh            CNAME            nas.hurion.ovh

Et tu t'assures que ton dynhost nas.hurion.ovh pointe bien sur ton IP publique (déjà le cas a priori).

Comme je t'avais dit de faire, le nslookup fonctionnait mais tu aurais eu un problème avec ton certificat.
Il te faudra demander un certificat pour nas.hurion.ovh au lieu de hurion.ovh
C'eût été plus simple si tu n'avais pas choisi deux niveaux de sous-domaines pour tes entrées de proxy inversé, mais soit.

Le nslookup fonctionnera aussi, et logiquement si tout le reste est bien configuré tu devrais arriver sur tes différentes applications au travers du proxy inversé.

il y a une heure, HugOil a dit :

Est ce que le retour de nslookup est correct? Je ne comprends pas le message "Réponse ne faisant pas autorité"

Réponse ne faisant pas autorité c'est normal, c'est la box ton serveur DNS et c'est elle qui répond, et ce n'est pas elle qui héberge ta zone DNS (mais OVH par défaut) donc ça te précise juste qu'elle ne fait pas autorité sur ce domaine.

[HugOil]

@MilesTEG1Ok c'est clair soit via Synology soit via la box. La solution Synology semble cependant plus simple, les box ayant généralement une interface peu commode.

 

@.Shad. J'ai mis ce que tu recommandes à savoir:

*.nas.hurion.ovh            CNAME            nas.hurion.ovh

Et ca fonctionne!

Je réalise en effet que mes sous-domaines multiples ne sont peut etre pas les plus simples.

Merci pour la précision sur le "Réponse ne fait pas autorité"

Je me lance dans les certificats et vous tiens au courant.

[.Shad.]

il y a 7 minutes, HugOil a dit :

Je réalise en effet que mes sous-domaines multiples ne sont peut etre pas les plus simples.

Dans ce cas-là tu as par exemple nas.hurion.ovh, nas2.hurion.ovh, vps.hurion.ovh, etc... Tu crées un certificat pour chacun des domaines ci-avant, et tu crées par exemple files.nas2.hurion.ovh, music.nas.hurion.ovh, wordpress.vps.hurion.ovh, etc...

Mais si ce domaine est destiné uniquement à accéder à des applications derrière une même IP publique, je pense que tu peux t'en passer.

Comme l'a dit @PiwiLAbruti tu crées un dynhost du type dynhost.hurion.ovh (pas besoin d'ajouter l'info que ça pointe sur un NAS), puis tu crées tes entrées qui amènent derrière l'IP publique vers laquelle pointe le dynhost : dsfiles.hurion.ovh, dsaudio.hurion.ovh, etc...

Pour apporter une nuance à ma première phrase :

Citation

En fait faire comme tu as fait est pratique et recommandé si tu auras plusieurs dynhost car plusieurs serveurs différents sur des IP publiques différentes.

Tu peux le contourner en transformant files.nas en files-nas par exemple. 😉 

Modifié le 16 juin 2021 par .Shad.

[MilesTEG1]

@HugOil
Alors, pour le DDNS dans DSM, c'est là pour DSM7, pour DSM 6.2 ça devrait être par là aussi 😉

Tu peux même cumuler plusieurs services différents ^^
J'ai OVH et Synology.

il y a 1 minute, HugOil a dit :

@MilesTEG1Ok c'est clair soit via Synology soit via la box. La solution Synology semble cependant plus simple, les box ayant généralement une interface peu commode.

 

@.Shad. J'ai mis ce que tu recommandes à savoir:

*.nas.hurion.ovh            CNAME            nas.hurion.ovh

Et ca fonctionne!

Je réalise en effet que mes sous-domaines multiples ne sont peut etre pas les plus simples.

Merci pour la précision sur le "Réponse ne fait pas autorité"

Je me lance dans les certificats et vous tiens au courant.

Haaa, tu as trouvé comment faire ^^ Et donc ça fonctionne depuis la 4G et aussi depuis ton LAN ? (si ça fonctionne depuis le LAN, ta box gère un peu le loopback 🙂 

Je n'ai plus besoin de te faire des captures d'écrans alors ?

Pour info, j'utilisais avant mon nom de domaine comme toi 😉 : 

• nas1.mon-ndd.ovh
• nas2.mon-ndd.ovh

Avec des "sous-domaines" :

• photos.nas1.mon-ndd.ovh
• service1.nas1.mon-ndd.ovh
• service2.nas1.mon-ndd.ovh
• ...

mais j'ai changé de méthode, mais ça n'empêche pas celle que tu utilises de fonctionner 🙂 
 

 

il y a 1 minute, .Shad. a dit :

Mais si ce domaine est destiné uniquement à accéder à des applications derrière une même IP publique, je pense que tu peux t'en passer.

Ha oui, bien vu, j'ai pas précisé que les deux NAS dont je parlais ne sont pas sur la même connexion internet 😉 

 

[HugOil]

Bon merci à tous pour votre support, j'ai enfin accès à DSCAM en 4G. Finalement ce n'était pas si simple mais ca permet de comprendre le fonctionnement réseau.

Par contre c'est pas très rapide, donc je vais me pencher sur ça maintenant!

Edit: déja en réduisant la résolution de diffusion sur mobile le gain est gigantesque!

Modifié le 16 juin 2021 par HugOil

[Fab221]

Bonjour,

Pour commencer, merci à l'auteur du tuto et aux différents intervenants qui ont fait que j'ai "réussi" à mettre en place le reverse proxy en suivant vos conseils !!!

Cependant, c'est ok pour surveillance station, photo et drive mais question bête ^^ comment accède-ton à l'interface du Syno ? 

Pour info, j'ai un ndd.com chez OVH qui pointe sur mon syno.

Second point, je ne sais pas si c'est le bon endroit pour en parler mais si je me connecte avec une IP autre qu'une IP française via mon VPN en 4g, j'accède sans souci à mon ndd.com hors il y a des règles dans le firewall du syno qui devrait empêcher ça et je ne devrais y accéder que par une IP française... Non ?  enfin si je n'ai pas fais une erreur 🙂

Merci

 

[oracle7]

@Fab221

Bonjour,

il y a 9 minutes, Fab221 a dit :

comment accède-ton à l'interface du Syno ? 

Tu crées simplement une redirection du style :

https://dsm.nnd.com  443   (htttp/2) vers http://localhost   5000

Pour le nom "dsm" ne surtout pas mettre le vrai nom de ton NAS, cela ne marcherai pas.

il y a 12 minutes, Fab221 a dit :

Second point

Pour verrouiller cela tu peux pour les redirections concernées du reverse proxy ajouter une règle de contrôle d'accès qui autorise les sous-réseaux locaux et VPN et une autre qui refuse tut le reste. Je te renvoie à la doc en ligne pour configurer cela.

Cordialement

oracle7😉

[Fab221]

il y a 34 minutes, oracle7 a dit :

@Fab221

Bonjour,

Tu crées simplement une redirection du style :

https://dsm.nnd.com  443   (htttp/2) vers http://localhost   5000

Pour le nom "dsm" ne surtout pas mettre le vrai nom de ton NAS, cela ne marcherai pas.

 

Bonsoir et merci pour le retour 🙂

 

La redirection je la mets en place à quel endroit (DSM7) ? 

 

Merci

 

Edit: OK j'ai trouvé 🙂

Modifié le 11 juillet 2021 par Fab221

[oracle7]

@Fab221

Bonjour,

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

[Fab221]

Par contre @oracle7 je viens de regarder un truc assez étrange... Du moins je pense 🙂

Dans la partie DNS de chez OVH j'ai indiqué par exemple pour accéder à "photos"  depuis l'extérieur:

lesphotos.ndd.com    A    IPPublique

Sur le NAS, dans "portail de connexion" onnglet application il y a

https://mon_ip_locale/lesphotos/

et dans "proxy inversé" il y a 

lesphotos.lendd.com

si j'essaye d'accéder à

• https://lesphotos.lendd.com... KO
• https://www.lesphotos.lendd.com... KO
• https://www.lendd.com/lesphotos  OK

Cela vous parait normal ?

 

Modifié le 11 juillet 2021 par Fab221
Ajout du @ ^^

[oracle7]

@Fab221

Bonjour,

Le paramétrage "brut" que je vais te donner ci-après est normalement valable pour DSM6, je ne saurais te dire si cela marche toujours pour DSM7. A toi de voir ...

Citation

Coté NAS :

·         Reverse proxy : https://photo.ndd.tld => http://localhost:80

·         Serveur DNS Local : CNAME photo.ndd.tld => ns.ndd.tld (pour la résolution locale)

·         Pour s'affranchir du "/photo", cela va se passer au niveau du fichier  .htaccess

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

RewriteCond %{HTTP_HOST} ^photo.ndd.tld$

RewriteRule ^$  https://photo.ndd.tld/photo [L,R=301]

Coté OVH (zone DNS) :

·         CNAME photo.ndd.tld => ndd.tld

Cordialement

oracle7😉

[Fab221]

@oracle7 bon et bien cela ne passe pas pour la redirection de DSM

En fait, ca passe, mais la connexion n'est pas sécurisée en 4G

Dans la partie DNS de chez OVH j'ai indiqué par pour accéder à "DSM"  depuis l'extérieur:

unnompourdsm.ndd.com    A    IPPublique

Sur le NAS, dans la partie "proxy inversé" j'ai suivi le même exemple que pour surveillance station (qui fonctionne comme expliqué plus haut c'est à dire www.lendd.com/surveillance) 

protocole: https 

nom d'hote : unnompourdsm.ndd.com

port: 443

Puis dans destination

Protocole: HTTP

nom d'hote: localhost

port: le_port_http_qui_permet_d'accéder_à_l'interface

Sur firefox j'ai un message qui m'indique ça:

Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour unnompourdsm.ndd.com. Le certificat n’est valide que pour www.ndd.com.

 

Mon souci semble donc venir de là, en fait il faudrait un certificat pour le ndd.com et un pour unnompourdsm.ndd.com$

Si quelqu'un a une idée... il est le bienvenue 🙂

Merci

[MilesTEG1]

@Fab221

Pour tes règles de pare-feu , aucune n’est activée : les cases à cocher de la colonne Activé sont toutes décochées !

C’est  cela que tu peux accéder à ton nas avec une IP pas française.

il fait commencer par là avant de toucher aux profils d’accès qui eux ne l’imiterons qu’à des Ip ou groupe d’ip que tu entreras manuellement…
Donc c’est pas là que tu limiteras géographiquement la provenance des adresses ip…

[_DR64_]

Il y a 11 heures, oracle7 a dit :

            Pour s'affranchir du "/photo", cela va se passer au niveau du fichier  .htaccess

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTP_HOST} ^photo.ndd.tld$
RewriteRule ^$  https://photo.ndd.tld/photo [L,R=301]

Pas besoin de cette règle pour DSM 7 et photo.
Simplifier seulement le .htaccess à :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

Modifié le 12 juillet 2021 par GrOoT64

[MilesTEG1]

il y a 17 minutes, GrOoT64 a dit :

Pas besoin de cette règle pour DSM 7 et photo.
Simplifier seulement le .htaccess à :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

Ce n’est valable que si on a paramétré le port personnalisé de Photos et le reverse proxy.

[_DR64_]

Bonjour @MilesTEG1, 

Il y a 1 heure, MilesTEG1 a dit :

Ce n’est valable que si on a paramétré le port personnalisé de Photos et le reverse proxy.

Oui c'est sûr mais nous sommes dans le tuto reverse proxy alors j'imagine que c'est fait 😄 

[oracle7]

Bonjour,

@Fab221

Il y a 9 heures, Fab221 a dit :

Dans la partie DNS de chez OVH j'ai indiqué par pour accéder à "DSM"  depuis l'extérieur:

unnompourdsm.ndd.com    A    IPPublique

Moi j'aurais chez OVH dans ta zone DNS, plutôt qu'un enregistrement de type unnompourdsm.ndd.com A vers @IP publique, j'aurais fait un enregistrement du type *.ndd.com   CNAME   ndd.com.

Ainsi le domaine "wilcard" (*.ndd.com) couvre non seulement ton domaine unnompourdsm mais ainsi tous les autres existants et à venir.

Et enfin pour ne pas avoir d'alertes de sécurité dans ton navigateur il te faut créer un certificat valable pour ndd.com et *.ndd.com (voir le TUTO).

@GrOoT64

Merci pour l'info, je ne savais pas. Effectivement c'est bien plus simple sous DSM7.

Cordialement

oracle7😉

[Fab221]

Il y a 12 heures, MilesTEG1 a dit :

@Fab221

Pour tes règles de pare-feu , aucune n’est activée : les cases à cocher de la colonne Activé sont toutes décochées !

C’est  cela que tu peux accéder à ton nas avec une IP pas française.

 

Bonjour à tous 🙂

@Fab221

Effectivement c'est un bon début 😅

je viens de tout cocher et pareil j'accède au ndd depuis n'importe quelle adresse étrangère

Il y a 8 heures, GrOoT64 a dit :

Bonjour @MilesTEG1, 

Oui c'est sûr mais nous sommes dans le tuto reverse proxy alors j'imagine que c'est fait 😄 

@MilesTEG1 tu supposes bien 🙂

Il y a 7 heures, oracle7 a dit :

Bonjour,

@Fab221

Moi j'aurais chez OVH dans ta zone DNS, plutôt qu'un enregistrement de type unnompourdsm.ndd.com A vers @IP publique, j'aurais fait un enregistrement du type *.ndd.com   CNAME   ndd.com.

Ainsi le domaine "wilcard" (*.ndd.com) couvre non seulement ton domaine unnompourdsm mais ainsi tous les autres existants et à venir.

Et enfin pour ne pas avoir d'alertes de sécurité dans ton navigateur il te faut créer un certificat valable pour ndd.com et *.ndd.com (voir le TUTO).

 

@oracle7 je viens de rajouter la CNAME comme tu l'as indiqué et je vais consulter le tuto 🙂

Pour le CNAME en fait je supprime tout ce que j'ai indiqué dans les DNS chez ovh du gennre:

- lelienpourlesphotos.lendd.com  A   IP publique

- lelienpoursurveillance.ndd.com   A  IP publique

Et je laisse simplement (ce qui est indiqué sur le tuto 🤨) à savoir

- lendd.com  A  IP publique

- *lendd.com   CNAME  lendd.com

Et basta...

 

Concernant le .htaccess, je pige pas... je me connecte avec cuteftp au syno en rentrant son IP, ça marche et je rentre, par contre le dossier www est vie et ça ne me parait pas normal puisque si je tape www.monndd.com j'arrive sur cette image

Donc l'index.html est bien quelque part mais où ?

Vous l'aurez compris, je débute ^^

Merci à vous 🙂

Modifié le 12 juillet 2021 par Fab221

[MilesTEG1]

il y a 2 minutes, Fab221 a dit :

je viens de tout cocher et pareil j'accède au ndd depuis n'importe quelle adresse étrangère

Hmm, c'est pas normal ça !

Soit l'IP à partir de laquelle du teste n'est pas étrangère, et donc est française, ou bien ton parefeu n'est pas activé... (reboot le nas au-cas où, mais normalement le parefeu est opérationnel dès lors qu'il est activé... )
Tu as bien cliqué sur sauvegarder ?

[_DR64_]

il y a 2 minutes, Fab221 a dit :

Donc l'index.html est bien quelque part mais où ?

il est dans le dossier partager "WEB" tu le trouveras dans file station par exemple, dans l'interface de DSM

[Fab221]

il y a 55 minutes, GrOoT64 a dit :

il est dans le dossier partager "WEB" tu le trouveras dans file station par exemple, dans l'interface de DSM

@GrOoT64 Bahhh comment dire... j'ai pas de dossier web présent, j'ai un www qui est vide

 

 

il y a 55 minutes, MilesTEG1 a dit :

Hmm, c'est pas normal ça !

Soit l'IP à partir de laquelle du teste n'est pas étrangère, et donc est française, ou bien ton parefeu n'est pas activé... (reboot le nas au-cas où, mais normalement le parefeu est opérationnel dès lors qu'il est activé... )
Tu as bien cliqué sur sauvegarder ?

@MilesTEG1 je viens de redémarrer le NAS pareil 🙂

Edit: C'est ok pour le parefeu 🙂

Modifié le 12 juillet 2021 par Fab221

[_DR64_]

@Fab221 : Tu ne regardes pas au bon endroit. 
Le dossier web n'est pas dans home. Il est dans "web" c'est un dossier partagé au même titre que "photo" "video" ou "music"

Modifié le 12 juillet 2021 par GrOoT64

[Fab221]

@GrOoT64 ok j'ai trouvé... C'est juste que le dossier web n'avait aucun droit de lecture et/ou écriture avec mon compte 🤪

Il est bien là ^^

[_DR64_]

Pour le pare feu, tu dois avoir à minima un truc du genre :

[Fab221]

@GrOoT64 vi, en fait le fait que cela fonctionnait avec n'importe quelle IP étrangère venait du fait que ej n'avais pas ajouter

192.168.1.0/255.255.0.0

et ta dernière ligne.

Par contre, la ligne 10.0 et celle en-dessous en 172.16 c'est pour une connexion via VPN non ? Il me semble avoir vu ça sur le tuto dédié.