[Tuto] Reverse Proxy

[Mic13710]

il y a 52 minutes, oracle7 a dit :

Tu peux préciser les symptômes et messages d'erreurs éventuels ?

@oracle7, @Phenix21 a raison, c'est un autre sujet qui doit être abordé sur un fil dédié. Celui-ci est déjà bien assez chargé, inutile de l'encombrer encore plus

[Fab221]

Bonsoir,

Question... 😅

Je viens d'installer un routeur Asus et installer un VPN dessus. les IP ne sont plus en 1.xxx mais en 20.xxx En local aucun souci pour y accéder après avoir modifie dans el NAS par contre avec une adresse https://lenomduchemin.lendd.com impossible d'y accéder (même en désactivant le parefeu du NAS et/ou celui du routeur)

Si je désactive le VPN du routeur tout est ok j'accède aux url depuis l'extérieur 

Le port 80 et le 443 sont bien ouverts sur l'asus (redirection de ports)

Des idées ? 

Merci

 

Edit: Plus rien ne fonctionne avec le reverse proxy... Juste OK en local.. 🤢 J'ai oublié de faire quoi ??????

Edit2: Et si il fallait que je mette sur OVH dans le champ A, l'IP attribuait par le VPN et non l'IP attribué par mon FAI ? J'essaye et vous tiens au courant.. Si cela peut servir à d'autres 😉

Edit3: nouvelle réflexion... Cela ne peut pas passer en modifiant le champ A car l'IP attribuée par le VPN n'est pas "la mienne" mais une IP générale pour ceux qui choisissent le même pays que moi... Donc c'est pas possible.... J'ai plus d'idée...

Modifié le 16 janvier 2022 par Fab221

[Fab221]

Bonjour,

Bon retour au premier point à savoir que les adresses reverse proxy ne fonctionnent pas si un VPN est installé sur le routeur. Si je désactive le VPN tout est OK. Il n'existe pas un moyen pour que cela puisse fonctionner avec le VPN ?

Merci

[ACDC]

Salut à tous, j'ai un petit soucis avec le revers proxy sur un DS918 avec DSM7, pour DS File et DS Note, j'ai tout bien configuré, ça fonctionne avec les application via "note.monndd.com" mais par contre via un navigateur internet avec l'adresse https://note.monndd.com impossible d'afficher une page, la page reste noire et la barre du navigateur ou je tape le lien clignote rapidement comme si il chargeait dans le vide. J'ai ce problème avec File Station et Note Station, avec mon conteneur Docker Bitwarden tout fonctionne parfaitement. Si quelqu'un peut m'aider

[KevM]

Salut @Dark-Spirit, c'est peut être bête mais as tu vu ce petit paragraphe dans le tuto de Fenrir, sécuriser l'accès à son NAS. en espérant que ce soit ça et que ton problème se résolve.

Je cite :

"Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection.

Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station). Si vous souhaitez profiter de la redirection sans casser le reverse proxy, le plus simple est de créer un petit fichier php à la racine de Webstation (/web/index.php) pour gérer cette redirection :"

Modifié le 16 janvier 2022 par KevM

[ACDC]

Il y a 23 heures, KevM a dit :

Salut @Dark-Spirit, c'est peut être bête mais as tu vu ce petit paragraphe dans le tuto de Fenrir, sécuriser l'accès à son NAS. en espérant que ce soit ça et que ton problème se résolve.

Je cite :

"Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection.

Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station). Si vous souhaitez profiter de la redirection sans casser le reverse proxy, le plus simple est de créer un petit fichier php à la racine de Webstation (/web/index.php) pour gérer cette redirection :"

Alors effectivement c'était ça qui coinçait, j'ai viré cette coche et tout fonctionne, toutes les connexion passe par le reverse proxy en https donc elle n'est pas nécessaire. Merci beaucoup 😉

[olivier.du.974]

Bonjour à tous ! J'espère poser ma question au bon endroit, sinon je m'en excuse d'avance.

J'ai un nom de domaine sur OVH en DYNHost (box orange), qui me dirige vers la page d'accueil de mon DS 920+ (DSM 7) , tout est renseigné dans la partie DDNS et ça fonctionne exactement comme je le souhaite.

Sur OVH j'ai créer un deuxième DynHost avec le nom de domaine bitwarden.monnomdedomaine.fr pour accéder au coffre, sauf qu'il m'est impossible de créer un autre DDNS avec le fournisseur OVH, puisqu'il est utiliser par mon nom de domaine principal. Ca pose un problème, car l'adresse IP de ma box change tout le temps et comme je n'ai pas de DDNS pour ce sous-domaine (bitwarden), ça ne se met pas à jour automatiquement chez OVH.

Auriez vous une solution pour que mon sous domaine bitwarden puisse être mi à jour automatiquement au même titre que mon nom de domaine principal s'il vous plaît ?

Merci d'avance 😉

PS: Si je renseigne l'IP actuel de la box manuellement sur le "bitwarden.monnomdedomaine.fr sur OVH, tout fonctionne bien.

 

[Jeff777]

il y a 25 minutes, olivier.du.974 a dit :

Auriez vous une solution pour que mon sous domaine bitwarden puisse être mi à jour automatiquement au même titre que mon nom de domaine principal s'il vous plaît

Et bien tu es sur le bon tuto. Il suffit de l'appliquer 😉.

Edit : Pas si simple IP dynamique connais pas 🤪

Modifié le 29 janvier 2022 par Jeff777

[MilesTEG1]

@olivier.du.974 Pour ça, il faut que ton sous-domaine soit une redirection vers ton domaine, dans la configuration OVH.

[oracle7]

@olivier.du.974

Bonjour,

Tu as aussi cette méthode décrite dans ce post.

Cordialement

oracle7😉

[olivier.du.974]

Merci beaucoup, la redirection était la solution, je vous remercie énormément ! 🙂  

[Mic13710]

Il y a 3 heures, oracle7 a dit :

Tu as aussi cette méthode décrite dans ce post.

Sauf que dans le post, il est question de plusieurs ndd hébergés chez ovh du genre ndd1, ndd2, ndd3. Le NAS n'acceptant qu'une seule instance par hébergeur, le post indique comment passer outre en utilisant des réglages personnalisés. Bien que je ne comprenne pas pourquoi se casser autant la tête alors qu'il y a plus simple. Il suffit en effet d'avoir un DDNS sur l'un des ndd (disons ndd1) et on crée dans les zones des autres ndd (ndd2, ndd3, ndd4....) un CNAME qui pointent vers ndd1.

Pour @olivier.du.974 (bonjour d'un zoreille), le problème est simplement lié à un ndd de deuxième niveau qui doit pointer vers le NAS sur lequel existe un DDNS vers le premier niveau du même ndd. Et là aussi ça passe tout simplement par un CNAME.

[olivier.du.974]

Salut @Mic13710 comen y lé zoreil !! 😅 ça fait plaisir !! 🙂

Pour répondre à ton commentaire, avant de poser la question ici, j'avais essayé ce que tu me dis en créant un DNS de type CNAME qui pointait vers mon nom de domaine, mais ça ne fonctionnait pas. A moins qu'il aurait fallu attendre plus longtemps le déploiement 🙄

Quoi qu'il en soit, en l'état, la solution de @MilesTEG1 a fonctionné de suite et en 5 clics et c'est le principal.

En tout cas, merci à tous pour votre implication , ça me fait plaisir. 🙂

Modifié le 29 janvier 2022 par olivier.du.974

[Mic13710]

@olivier.du.974, santé vié moun.

Un CNAME est en soit une redirection. Certes elle est invisible, contrairement à une redirection permanente qui elle est visible, mais son fonctionnement est identique et sa propagation est assez rapide.

Généralement, on fait une redirection permanente d'un ndd vers un autre ndd (ndd2 vers ndd1 ou ndd2 vers une autre IP par exemple), et on utilise les CNAME pour des redirections à l'intérieur d'un ndd (par exemple file.ndd vers ndd). C'est ce qui aurait dû fonctionner chez vous.

[olivier.du.974]

A l'occasion je ferai un test pour voir 🙂 A noter que lorsque j'ai fait la redirection sur OVH, il m'a été spécifié durant le procédé, que le redirection sera invisible. Après je ne sais pas si on parle de la même chose, car je suis qu'un tout petit padawan dans ce domaine (sans mauvais jeux de mots) 😅

Merci @Mic13710 😉

[MilesTEG1]

il y a 48 minutes, olivier.du.974 a dit :

A l'occasion je ferai un test pour voir 🙂 A noter que lorsque j'ai fait la redirection sur OVH, il m'a été spécifié durant le procédé, que le redirection sera invisible. Après je ne sais pas si on parle de la même chose, car je suis qu'un tout petit padawan dans ce domaine (sans mauvais jeux de mots) 😅

Merci @Mic13710 😉

C’est normal j’ai eu moi aussi ce message. Ça veut dire que tu resterais sur bla-bla.ndd.tld même si en sous marin ça va sur ndd.tld.

L’url dans la barre d’adresse ne changera pas et affichera donc toujours bla-bla.ndd.tld.

Je crois que c’est que les autres ici appellent un CNAME.

[Blacktime2]

Le 20/02/2018 à 09:11, Kawamashi a dit :

Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre.

Bonjour,

J'ai suivi à la lettre cette procédure cependant je rencontre un problème qui pourrait être dû au DynDNS.

Voici la configuration de mon domaine OVH :

- Zone DNS : (   *.domaine.fr.     0    CNAME    domaine.fr.   )

- DynDNS : (   .domaine.fr     @IP   )

 

Les ports 443 et 80 sont bien ouvert sur ma box Orange et redirige vers mon Nas.

Mon NAS accepte bien mon DynDNS et quand je tape https://domaine.fr cela redirige bien vers mon DSM.

Mon reverse proxy est également configuré le problème étant que quand je tape https://drive.domaine.fr par exemple (en l'aillant au préalable configuré en reverseProxy), mon navigateur actualise à l'infini la page comme si drive.domaine.fr devait être redirigé sur lui-même.

Est-ce que quelqu'un aurait une idée de la cause de ce problème ?

Merci beaucoup à ceux qui me lirons !

 

[oracle7]

@Blacktime2

Bonjour,

il y a 59 minutes, Blacktime2 a dit :

quand je tape https://drive.domaine.fr par exemple (en l'aillant au préalable configuré en reverseProxy), mon navigateur actualise à l'infini la page comme si drive.domaine.fr devait être redirigé sur lui-même.

Ce n'est pas a priori un problème de DynHost chez OVH cela semble correct.

As-tu bien aussi créé un DDNS (pendant du DynHost) sur le NAS (Accès externe > DDNS) avec tes infos de configuration du DynHost OVH ?

Dans le Reverse proxy quel port de destination de ta redirection drive.domaine.fr as-tu mis ? C'est bien le port 10002 ?

Sinon, pour atteindre Drive depuis l'extérieur, il faut aussi que tu ais transféré (NAT sur la Livebox) le port 6690 vers le NAS et ouvert/autorisé ce même port dans le pare-feu du NAS. Ce port est nécessaire à Drive pour assurer les échanges système pour les synchronisations de données.

EDIT :

il y a 59 minutes, Blacktime2 a dit :

Les ports 443 et 80 sont bien ouvert sur ma box Orange et redirige vers mon Nas.

OK pour la redirection (NAT) de ces ports vers le NAS mais il est inutile de les ouvrir dans le pare-feu de la box, c'est dans le pare-feu du NAS qu'il faut le faire.

Cordialement

oracle7😉

Modifié le 5 février 2022 par oracle7

[Blacktime2]

Il y a 16 heures, oracle7 a dit :

As-tu bien aussi créé un DDNS (pendant du DynHost) sur le NAS (Accès externe > DDNS) avec tes infos de configuration du DynHost OVH ?

Merci beaucoup pour ton retour, je m'empresse de faire ma présentation après ce message 😊

Oui, je l'utilise depuis presque 1 an et ça fonctionne sans problème.

Il y a 16 heures, oracle7 a dit :

Dans le Reverse proxy quel port de destination de ta redirection drive.domaine.fr as-tu mis ? C'est bien le port 10002 ?

Non j'ai choisi le 7625.

 

Il y a 16 heures, oracle7 a dit :

Sinon, pour atteindre Drive depuis l'extérieur, il faut aussi que tu ais transféré (NAT sur la Livebox) le port 6690 vers le NAS et ouvert/autorisé ce même port dans le pare-feu du NAS. Ce port est nécessaire à Drive pour assurer les échanges système pour les synchronisations de données.

En effet, la redirection était déjà faite sur ma Livebox et tout fonctionnait, au niveau du pare-feu c'est également ouvert.

 

Il y a 16 heures, oracle7 a dit :

OK pour la redirection (NAT) de ces ports vers le NAS mais il est inutile de les ouvrir dans le pare-feu de la box, c'est dans le pare-feu du NAS qu'il faut le faire.

C'était fait sur les deux pour le coup. Jusqu'à là tout est bon.

J'ai du mal à comprendre d'où pourrait venir le problème. D'ailleurs ce problème survient avec toutes les redirections, que ce soit pour https://video.domaine.fr ; https://drive.domaine.fr ; https://file.domaine.fr ... la page s'actualise en boucle.

Merci pour ton aide. Je pars faire ma présentation !

[oracle7]

@Blacktime2

Bonjour,

il y a 29 minutes, Blacktime2 a dit :

Non j'ai choisi le 7625.

Perdu ! il faut mettre le port 10002. Par ailleurs, saches qu'il ne sert à rien (même si rien ne t'empêche) de modifier les ports par défaut. C'est une fausse bonne idée car un malveillant mettra moins d'une minute avec un simple NMAP pour trouver derrière quel port est le service qu'il veux attaquer. En plus cela est difficile à gérer par la suite pour toi (risques de confusions) et certaines applications n'y retrouvent plus "leurs petits" et donc n'aiment pas.

Sous quelle version de DSM est-tu ?

Cordialement

oracle7😉

[Blacktime2]

il y a 15 minutes, oracle7 a dit :

Perdu ! il faut mettre le port 10002.

Celui par défaut en effet, j'ai juste pris l'habitude d'inventer des numéros de ports 😁

Dans ce cas-là ce n'est pas vraiment applicable mais si un bot recherche tous les NAS Synology, il pourra configurer un scan sur tous les ports 5000 et 5001 (DSM) alors que si je les ai changés, il ne trouvera mon DSM que s'il fait une recherche plus approfondie non ? Parce qu'un scan de plus de 60 000 ports avec nmap... pour chaque victime ça peut prendre du temps.

Dans tous les cas, malgré le changement de port avec celui par défaut, on retombe sur le même problème.

il y a 20 minutes, oracle7 a dit :

Sous quelle version de DSM est-tu ?

DSM 7.0.1-42218 Update 2

Merci encore pour ton aide !

[Jeff777]

Bonjour,

Question qui a peut-être déjà été abordée. As-tu coché la case redirection http vers https (portail de connexion/DSM). Si c'est le cas essaie de décocher.

[Blacktime2]

il y a 11 minutes, Jeff777 a dit :

As-tu coché la case redirection http vers https (portail de connexion/DSM)

Oups... en effet ça fonctionne maintenant 😃 Truc tout con que je n'aurais pas forcément pensé car c'est la redirection DSM et mes différents services ne sont pas tous en DSM.

Merci beaucoup à vous deux !

[oracle7]

@Blacktime2

Bonjour,

il y a 29 minutes, Blacktime2 a dit :

Dans tous les cas, malgré le changement de port avec celui par défaut, on retombe sur le même problème.

C'est bien pour cela qu'il est préférable de se "cacher" avec un nom de domaine derrière le Reverse Proxy comme cela tu n'as que les ports 80 et 443 normalement d'ouverts sur ton NAS, donc visibles de l'extérieur (sauf quelques ports bien particuliers tels que 6690 pour Drive, 1194 pour OpenVPN, etc ... mais cela reste très limité).

Cordialement

oracle7😉

[Jeff777]

En tout cas, tu vois bien @oracle7, que même avec DSM7 le bug n'est pas résolu ! Ce ne sera donc pas un argument pour que tu franchisses le pas 🤣