[Tuto] Reverse Proxy

[Blacktime2]

il y a 9 minutes, oracle7 a dit :

C'est bien pour cela qu'il est préférable de se "cacher" avec un nom de domaine derrière le Reverse Proxy comme cela tu n'as que les ports 80 et 443

En effet, merci !

[Blacktime2]

Le 20/02/2018 à 09:11, Kawamashi a dit :

Il faut ensuite redemander un certificat à Let's Encrypt, en ajoutant www.ndd.fr dans le champ 'Autre nom de l'objet" (en plus des noms de tous les sous-domaines).

Jusqu'ici tout va bien cependant, quand je tape www.domaine.fr je n'atterris sur aucune page. En revanche, avec https://domaine.fr c'est bon. Les autres redirections du type video.domaine.fr redirige bien vers https://video.domaine.fr

Si je tape https://www.video.domaine.fr je tombe sur ma page index.html.

Mes connaissances sont limitées en serveur Web. Merci à vous pour votre aide !

Modifié le 6 février 2022 par Blacktime2

[Jeff777]

il y a 9 minutes, Blacktime2 a dit :

www.domaine.fr je n'atterris sur aucune page. En revanche, avec https://domaine.fr c'est bon

Peut-être un CNAME qui manque dans ta zone       www.ndd CNAME  ndd

il y a 10 minutes, Blacktime2 a dit :

Si je tape https://www.video.domaine.fr je tombe sur ma page index.html.

Tu as bien suivi le TUTO teverse proxy ? avec redirection vers https par .htaccess ? Tu as le bon port dans le reverse proxy (9007).?

[oracle7]

@Jeff777

Bonjour,

Il y a 1 heure, Jeff777 a dit :

que même avec DSM7 le bug n'est pas résolu !

De quel bug tu parles, je comprends pas ...🤪

Cordialement

oracle7😉

[Blacktime2]

il y a 19 minutes, Jeff777 a dit :

Peut-être un CNAME qui manque dans ta zone       www.ndd CNAME  ndd

En effet, merci pour la remarque.

 

il y a 19 minutes, Jeff777 a dit :

Tu as bien suivi le TUTO teverse proxy ? avec redirection vers https par .htaccess ? Tu as le bon port dans le reverse proxy (9007).?

Oui le reverse proxy fonctionne bien, et la redirection également.

Si je mets video.domaine.fr je tombe bien sur ce que je veux.

Si je mets https://video.domaine.fr c'est pareil.

En revanche si je mets https://www.video.domaine.fr je tombe sur ma page index.html. En gros il ne comprend pas le WWW. Après si je créer un CNAME par services ça devrait fonctionner.

[oracle7]

@Blacktime2

Bonjour,

il y a 10 minutes, Blacktime2 a dit :

En revanche si je mets https://www.video.domaine.fr je tombe sur ma page index.html. En gros il ne comprend pas le WWW.

C'est normal, sauf erreur de ma part vu que dans ta zone DNS chez OVH tu as mis un wilcard *.domaine.fr.

Du coup tous tes sous-domaines en xxxx.domaine.fr sont parfaitement résolus et bien redirigés vers ton @IP externe.

Par contre, si tu rajoutes "un étage" supplémentaire avec www.xxxx.domaine.fr alors ce sous-domaine ne peut être résolu car inconnu.

Sinon, pourquoi et quel intérêt tu as de créer/passer par www.xxxx.domaine.fr ? Je ne te suis pas là ....

EDIT : Au passage ton certificat LE est-il bien créé pour ton domaine et son wilcard ?

Cordialement

oracle7😉

Modifié le 6 février 2022 par oracle7

[Jeff777]

il y a 20 minutes, Blacktime2 a dit :

En revanche si je mets https://www.video.domaine.fr je tombe sur ma page index.html.

J'ai lu que le www est de plus en plus abandonné. Alors je ne sais pas si ça vaut la peine mais bon

[Blacktime2]

il y a 17 minutes, oracle7 a dit :

Sinon, pourquoi et quel intérêt tu as de créer/passer par www.xxxx.domaine.fr ? Je ne te suis pas là ....

Strictement aucun, je voulais juste comprendre pourquoi il ne redirigeait pas.

J'aurais pensé que quelque soit le nombre "d'étage", ma wilcard *.domaine.fr aurait tout redirigé.

il y a 17 minutes, oracle7 a dit :

EDIT : Au passage ton certificat LE est-il bien créé pour ton domaine et son wilcard ?

J'ai un certificat Let's encrypt généré sur mon nas sur domaine.fr, www.domaine.fr, video.domaine.fr etc...

Ceci-dit, pas encore fonctionnel pour l'instant...

EDIT : J'ai trouvé pourquoi mes certificats ne fonctionnaient pas. malgré qu'il soit en "certificat par défaut", il utilisait un certificat d'un autre domaine. Bref, ça fonctionne.

Modifié le 6 février 2022 par Blacktime2

[Jeff777]

il y a 28 minutes, oracle7 a dit :

De quel bug tu parles, je comprends pas ...

Je crois que tu as raté quelque chose. Reprends le fil page précédente 😉

[oracle7]

Bonjour,

@Blacktime2

il y a 45 minutes, Blacktime2 a dit :

J'aurais pensé que quelque soit le nombre "d'étage", ma wilcard *.domaine.fr aurait tout redirigé.

Bah non, cela ne prend en compte que "l'étage" du wilcard et au dessus mais pas en dessous.

il y a 45 minutes, Blacktime2 a dit :

J'ai un certificat Let's encrypt généré sur mon nas sur domaine.fr, www.domaine.fr, video.domaine.fr etc...

Attention, si tu as créé ton certificat LE via DSM, la chaine complète de tous tes sous-domaines séparés par des ";" dans le champ "Autre nom de l'objet" est limitée par Syology à 254 caractères. On les atteint très facilement en ajoutant dans le temps des sous-domaines.

Donc comme tu as définit un wilcard sur ton domaine et pour t'affranchir de cette limitation, je t'invite expressément à créer un certificat LE pour ton domaine.fr ET son wilcard *.domaine.fr à l'aide d'une des deux méthodes suivantes selon que ton NAS peut supporter ou non docker : Avec docker, sans docker.

@Jeff777

Bah y-a un truc qui reste pas clair, chez certains (sous DSM7) cela marche sans cocher la fameuse case "Rediriger ... HTTP vers HTTPS ..." et pour d'autre il leur faut la cocher et même en plus changer le serveur HTTP par défaut de nginx à Apache pour pourvoir utiliser le fichier .htaccess et ainsi disposer des redirections HTTP vers HTTPS automatiques.

Du coup, j'ai du mal à suivre et à savoir quelle est finalement la bonne méthode à utiliser sous DSM7 (sous DSM6 c'est on ne peut plus clair). Tu en dis quoi toi ?

Cordialement

oracle7😉

Modifié le 6 février 2022 par oracle7

[Jeff777]

il y a 23 minutes, oracle7 a dit :

Tu en dis quoi toi ?

J'ai apache par défaut, la case http==>https non cochée et un .htaccess . Maintenant j'ai aussi HSTS d'implémenté et aussi l'IPV6.

Voilà j'ai tout dit. Maintenant je suis comme toi, pourquoi ça bug quand je coche la case fatidique ? 🙄

Edit : en fait ça fonctionne à moitié si je garde htaccess 

Modifié le 6 février 2022 par Jeff777

[kevin.vanacppel]

Bonjour, à l'étape "Procurez-vous un certificat auprès de let's encryt", lorsque je clique sur "Appliquer", j'ai le message "Pas de réponse du serveur de destination. Réessayer ultérieurement". Quelqu'un pourrait-il svp m'aider ? Merci à vous. Bonne journée et encore merci pour ce tuto.

[oracle7]

@kevin.vanacppel

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ...

2. Il ne sert à rien de poser plusieurs fois la même question des des posts différents, tu n'auras pas plus de réponses pour autant ! Si tu ne veux pas te faire tirer les oreilles par un modérateur, tu serais bien avisé de supprimer ce doublon. Mais c'est toi qui voit ...

3. Si tu as bien suivi le TUTO tu dois avoir transféré (NAT) les port 80 et 443 de ta box vers ton NAS et ouvert/autoriser ces même ports dans le pare-feu du NAS. Or à ce niveau le TUTO préconise de limiter l'ouverture à la zone géographique FRANCE, sauf que les serveurs Let'sEncrypt sont aux USA, voilà pourquoi il n'y a pas de réponse du serveur de destination. Il ne faut donc pas limiter ces ports à la FRANCE mais laisser sur "Tous" pour l'IP Source le temps de la création du certificat et lors de son renouvellement tous les 3 mois. Ensuite tu peux les refermer par sécurité.

Cordialement

oracle7😉

 

Modifié le 20 février 2022 par oracle7

[kevin.vanacppel]

Bonjour, merci pour votre retour. J'ai fait une présentation (avec le temps que m'accorde mes enfants), j'ai bien compris le fait qu'il ne faille pas limiter à certaines zones géographiques (j'ai donc tout ouvert, même désactivé le pare-feu), mais rien n'y fait. Désolé pour cela.

[oracle7]

@kevin.vanacppel

Bonjour,

Il arrive parfois que les serveurs Let'Encrypt soient surchargés momentanément. Patientes un peu et réessaies plus tard ...

Cordialement

oracle7😉

 

[kevin.vanacppel]

Il y a 22 heures, oracle7 a dit :

@kevin.vanacppel

Bonjour,

Il arrive parfois que les serveurs Let'Encrypt soient surchargés momentanément. Patientes un peu et réessaies plus tard ...

Cordialement

oracle7😉

 

Merci @oracle7, je réessaierai plus tard. Merci encore

[oracle7]

@kevin.vanacppel

Bonjour,

Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.

Cordialement

oracle7😉

[brunob78]

Bonjour,

J'ai un site web wordpress hébergé par mon nas Synology. Wordpress a été installé via le package Syno. Le dossier Wordpress n'est pas dans le dossier web sur le syno mais dans le dossier web_packages

J'ai mis en place le reverse proxy, j'ai configuré Web Station et j'ai mis le fichier .htaccess dans le dossier web.

J'arrive bien à accéder à mon site en tapant : https://www.monndd.fr/wordpress. 

Par contre, dès que je tape https://www.monndd.fr j'arrive sur la page suivante

J'ai cherché un peu partout mais là je ne sais plus quoi faire.

D'avance merci pour votre aide.

Bruno

[kevin.vanacppel]

Bonjour,

  pardon, mais je ne trouve vraiment pas de solution à mon problème d'ajout de certificat.
  
    J'ai suivi respectivement les tutos suivants : 
      - https://www.nas-forum.com/forum/topic/62627-tuto-pourquoi-et-comment-utiliser-un-nom-de-domaine/
      - https://www.nas-forum.com/forum/topic/59108-tuto-reverse-proxy/#comment-1319345216
      
    Voici les étapes suivies : 
    - Achat d'un nom de domaine : OK
    - Redirection IPv4 : OK
    - Vérification via "DNS Checker" : OK (nom de domaine mais aussi sous-domaine) (((rem. la redirection faite à l'étape précédente ne concerne que l'IP v4, j'ai aussi une IP v6, cela pourrait-il éventuellement expliquer mon problème d'ajout de certificat mentionné ci-dessous ?)
    - Redirections des ports externes 80 et 443 vers les ports 80 et 443 du NAS : OK (box redémarrée)
    - Pare-feu : désactivé le temps de trouver une solution au problème d'ajout de certificat ci-dessous)
    - Configuration du portal des applications : OK (((lorsque je fait : https://moments.ndd.fr, ça fonctionne mais avec l'avertissement de sécurité)
    - Obtention du certificat SSL : KO (toujours le même message : impossible de joindre le service de destination). Donc, lorsque je fais https://moments.ndd.fr, ça ne renvoie pas vers http://ndd.fr:"port moment"
    
    J'ai beau cherché, désactivé le pare-feu, attendre et réessayer fréquemment.... rien n'y fait.
    
    Désolé pour mon incapacité à trouver une solution, mais je sèche.
    
    Bien à vous
 

[oracle7]

@kevin.vanacppel

Bonjour,

1. Ton @IPexterne (celle de ta box) est-elle fixe ou dynamique ?
2. Quel est ton fournisseur de nom de domaine ?
3. As-tu lu et suivi ce TUTO : Sécuriser les accès à son NAS ?
4. Quelle méthode suis-tu pour générer ton certificat ?

Cordialement

oracle7😉

Modifié le 27 février 2022 par oracle7

[kevin.vanacppel]

@oracle7

Bonjour,

  1/ L'IP est dynamique bien fixe (désolé, les enfants étaient à côté)
  2/ Le FAI est Free (ai fait une demande d'adresse IP fixe il y a des années, elle l'est bien depuis au moins 3 ans)
  3/ Non, je n'ai pas suivi TUTO : Sécuriser les accès à son NAS ? mais le Synology a été totalement réinstallé, il n'y a donc aucun réglage atypique, il est dans la configuration d'origine (à part le remplacement des ports 5000 et 5001)).
  4/ Pour la méthode, je choisis "ajouter un nouveau certificat", puis je choisis "Obtenir un certificat aurprès de Let's Encrypt"

Modifié le 27 février 2022 par kevin.vanacppel

[Kramlech]

il y a 18 minutes, kevin.vanacppel a dit :

1/ L'IP est dynamique
2/ Le FAI est Free

Donc l'IP est fixe ...(standard chez Free, éventuellement partagé à plusieurs)).

A ce sujet, as-tu vérifié que tu as bien une IP full-stack ? (dans ta console de gestion Free, Ma freebox, Demander une adresse IP fixe full-stack)

[oracle7]

@kevin.vanacppel

Bonjour,

Ahreeeh encore grillé par @Kramlech🤣 pour l'IP externe.

Désolé mais tu te contredis, au point 1 tu dis quelle dynamique et au point 2 tu dis quelle est fixe depuis des années.

Il faut savoir exactement car la configuration de l'accès externe en dépend, elle diffère selon. Donc @IPexterne fixe ou dynamique ?

Tu n'as pas répondu pour le fournisseur de nom de domaine (je ne parlais pas de ton fournisseur d'accès Internet même si l'info était aussi importante), donc OVH par ex ou un autre ?

Il y a 1 heure, kevin.vanacppel a dit :

mais le Synology a été totalement réinstallé, il n'y a donc aucun réglage atypique, il est dans la configuration d'origine

Eh bien justement, il n'est donc pas du tout sécurisé pour un accès externe notamment et pour réaliser cela il te faut suivre le TUTO suscité.

Il y a 1 heure, kevin.vanacppel a dit :

à part le remplacement des ports 5000 et 5001

Si je peux me permettre, il est inutile de changer les ports par défaut. C'est une fausse bonne idée. Ce qu'il faut soigner, ce sont les protections des accès. Mais rien ne t'empêche de le faire si tu penses que c'est bien. L'utilité est franchement discutable car si tu fais une commande « nmap » sur ton @IP publique, tu verras en quelques secondes tous les ports accessibles depuis chez le lieu de la commande, donc que DSM soit sur le port 5000 ou 57485, cela ne change rien. Une commande « curl » renseignera également directement sur le contenu de la page renvoyée par ton @IP sur ce port. De plus en faisant cela tu ne fais que retarder de moins d'une minute une éventuelle attaque de malveillant qui aura tôt fait de trouver la supercherie. En plus cela complique la gestion courante car il faut se rappeler quels ports effectifs on a mis. Donc aucun intérêt, mais ce n’est que mon humble avis …C'est toi qui voit.

Enfin saches que si tu changes les ports par défaut dans le portail des applications, il faut qu'ils soient autorisés dans le pare-feu et qu'ils soient ouverts dans le routeur/box, c'est le b a ba. De plus, pour que les applications DSxxx fonctionnent, il faudra rajouter dans l’URL de connexion le port de communication : ndd (ou IP publique):<le numéro de port du service>. Que de complexité supplémentaire, non ?

Cordialement

oracle7😉

Modifié le 27 février 2022 par oracle7

[MilesTEG1]

Il y a 2 heures, oracle7 a dit :

Si je peux me permettre, il est inutile de changer les ports par défaut. C'est une fausse bonne idée. Ce qu'il faut soigner, ce sont les protections des accès.

C'est pourtant ce qui est conseillé par plein de marques et de personnes bossant dans la cybersécurité.

Je veux bien reconnaitre que la commande que tu cites permet de savoir rapidement quels ports sont ouverts, mais je pense que les hackers utilisent des scripts où ils codent en durs les ports à tester. Et là, si tu n'as pas changé tes ports, tu risques l'attaque via une faille.
C'est sacrément vrai pour les ports exposés sur internet. Beaucoup moins pour ceux qui ne le sont que sur le LAN... Mais là aussi, les virus et compagnie, peuvent attaquer depuis un PC vérolé/zombie...

Je pense que changer les ports par défaut est une mesure de sécurité en plus qui ne peut pas faire de mal. 

 

Après, pour revenir au sujet du reverse proxy, je n'expose que le port 443 et 6690. Et je n'ai pas une seule tentative de connexion. Merci aussi au pare-feu très restrictif qui n'autorise que les IP françaises sur le 6690, et le 443.
(enfin sur ce dernier, j'ai du mettre le monde entier car je n'arrive pas à déterminer si les renouvellements de certificats (Synology et OVH via ACME) nécessitent ce port là... et aussi si les serveurs de Plex ont besoin de ce port pour communiquer avec le mien (j'ai déclaré ce port avec l'adresse de mon serveur https://monplex.mon-ndd.ovh )... une idée ?)

[oracle7]

@MilesTEG1

Bonjour,
Maintenant ce n'est que mon avis ... et comme tu le dis avec un pare-feu bien régler on fait face à l'essentiel. Mais je comprends ton septicisme face à cette assertion relative au changement de ports.

il y a 30 minutes, MilesTEG1 a dit :

Je pense que changer les ports par défaut est une mesure de sécurité en plus qui ne peut pas faire de mal.

A mon sens oui et non (voir mes arguments précédents). Tu admettras aussi qu'il existe trop de personnes qui ouvrent tout et n'importe quoi en termes de ports sans trop savoir ce qu'ils font et les conséquences qui en découlent.

Je te joins un lien intéressant sur un aspect des méthodes d'attaques, je te laisse en en juger  ...

Cordialement

oracle7😉