[Tuto] Reverse Proxy

[falcon7]

@Joshua33 

l'interface étant pas exactement la même, j'ai du mal à suivre qu'est ce qu'il faut faire sur web station après son installation 

[falcon7]

finalement ça fonctionne, il fallait que je désactive la redirection des connexions HTTP vers HTTPS pour le bureau DSM

[falcon7]

Bonjour,

J'ai un soucis d'accès sur le réseau local (en Wi-Fi) depuis un iphone.

En effet lorsque j'essaie d'accéder au NAS via à  son IP local cela fonctionne parfaitement.

En utilisant les URLs reverse proxy, j'ai accès à rien. Par contre en enlevant l'option "relais privé" d'iphone, j'ai bien accès au service en utilisant ces URLs reverse proxy.

Alors je n'explique pas ce comportement. Est-ce normal, dans ce cas je voudrais bien un explication si quelqu'un a une idée là dessus. Et sinon quelles actions dois-je faire pour résoudre ce problème.

A notée que tout est ouvert au niveau du pare-feu pour les IP locaux.

Merci

Modifié le 1 juillet 2023 par falcon7

[Mic13710]

Pour que des URL fonctionnent localement avec vos ndd, il faut soit que le routeur accepte le loopback (pas la meilleure méthode mais si ça fonctionne, tant mieux), soit utiliser le serveur DNS pour créer un serveur local qui pourra résoudre vos URL lorsque vous êtes connecté sur votre réseau local. Il y a un tuto dans la partie tutoriels pour sa mise en oeuvre.

[falcon7]

@Mic13710

Effectivement j'ai mis en place une zone dns local avec les entrées des différentes URLs. J'arrive également à requêter sur les URLs depuis mon PC en local.

Ce qui pose soucis on dirait c'est la fonctionnalité "relais privé" d'iphone, et je n'arrive pas à comprendre pourquoi

[Mic13710]

Désolé mais je n'y connais rien aux produits pommés.

[CyberFr]

Il y a 18 heures, falcon7 a dit :

Ce qui pose soucis on dirait c'est la fonctionnalité "relais privé" d'iphone, et je n'arrive pas à comprendre pourquoi

Cette option est désactivée chez moi car elle modifie les DNS qui sont configurés dans les réglages WI-FI et l'adresse IP de l'iPhone.

[goudurix]

Bonjour à tous,

Pour des raisons de sécurité, je me trouve dans l'obligation d'utiliser le Proxy Reverse du NAS Synology.

J'ai un serveur de messagerie, autre que Synology Mail Server, sur ce même réseau.
Sur ce serveur de messagerie, j'utilise 4 ports différents :
- https : 443 (Exchange)
- Imaps : 993
- smtps : 465
- Smtp Sub : 587
et donc 3 sous domaines :
mail.domaine.tld
imap.domaine.tld
smtp.domaine.tld

Mon serveur de mails a son propre moteur de création de certificats avec let's encrypt que je dois utiliser pour ne pas avoir d'erreur de certificat avec les ports 993, 465, 587.

Je vais donc utiliser le reverse proxy Synology pour les ports 80 (http) et 443 (https).

J'ai aussi deux autres serveurs utilisant le port 443, d'où l'utilisation du reverse proxy du NAS.

Avant que la question me soit posée, les ports 80 et 443,  sur mon routeur, sont bien redirigées vers le NAS. Les ports 993, 465, 587 sont redirigés vers le serveur de mails.

Lorsque je tente une connexion vers https://mail.domaine.tld, sur mon navigateur, j'ai une alerte de sécurité pour un certificat non valide. Logique puisque c'est le certificat auto-signé par défaut du NAS.

Question : Quelles sont les instructions nginx à ajouter à l'en-tête personnalisé pour que le certificat Synology soit ignoré lors de la connexion et que ce soit bien celui de mon serveur de mails qui sera vu par le navigateur ?

Merci par avance.

[.Shad.]

Salut @goudurix

Tu ne peux pas facilement utiliser le certificat de ton serveur mail pour ton proxy inversé, et surtout je n'en vois pas l'intérêt, il te suffit de créer un autre certificat pour ton domaine depuis le NAS et associer tes entrées de proxy inversé à celui-ci dans Panneau de configuration -> Sécurité -> Certificat -> Paramètres.

[goudurix]

J'ai finalement fini par trouver.

Sur le nas, j'ai créé les redirections  :

• mail.domaine.tld sur le port 80 et sur le port 443
• imap.domaine.tld sur le port 80 et sur le port 443
• smtp.domaine.tld sur le port 80 et sur le port 443

Ensuite toujours sur le NAS, j'ai créé le certificat Let's Encrypt avec ces sous domaines

Pour terminer, sur mon serveur de mails, j'ai aussi créé mes certificats Let's Encrypt

Donc pour les connexion aux serveur de mails, en utilisant Exchange on transite bien par le NAS, mais pour Imap et Smtp, on arrive directement sur le serveur de mails sans erreur.

[.Shad.]

Pas tout compris à ce que tu as fait, mais tant que ça fonctionne 👌

[GB Informatics]

Bonjour j'ai suivi le tutoriel étape par étape. Je me suis arrêté à Web Station car je n'ai pas de site internet.

Dans un premier temps, je veux simplement accéder à Station, Audio par exemple sans avoir à mettre le port dans l'adresse. 

Actuellement, la page reste blanche et ca cherche en bloque alors que les ports sont ouverts dans le pare-feu du nas.

Dans le NAT/PAT de ma livebox j'ai mis

Application : HTTPS | Port interne : 5603 | Port externe : 443 | Protocole : TCP | Appareil : NAS

Application : HTTP | Port interne : 80| Port externe : 80 | Protocole : TCP | Appareil : NAS

Ensuite ca serait de taper audio.nomdedomainedunad.synology.me et d'arriver direct sur audio du nas en https.

Si possible à la toute fin ca sera de totalement supprimer le http ou localhost pour n'être qu'en https.

[Jeff777]

Il y a 10 heures, GB Informatics a dit :

Je me suis arrêté à Web Station car je n'ai pas de site internet.

Bonjour,

Tu peux faire cette partie du tuto même sans site internet.

Si tu vas jusqu'au bout du tuto, toute requête en http sera transformée en https.

Modifié le 31 juillet 2023 par Jeff777

[GB Informatics]

Bonjour j'ai mis le script

RewriteEngine On
RewriteCond %{HTTPS} On
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Lorsque je tape audio.nomdedomaine.synology.me => la page fait comme si elle s'actualisait en permanence sans rien afficher

 

 

[GB Informatics]

Bonjour ne premier je souhaitai faire un reverse proxy pour les applications du portail de connexion mais je crois que ce n'est pas possible à ce que j'ai compris. Je ne veux plus mettre les ports et également le https

[Mike913]

Bonjour,

Panneau de configuration -> portail de connexion -> application

 

[GB Informatics]

Il y a 7 heures, Mike913 a dit :

Bonjour,

Panneau de configuration -> portail de connexion -> application

 

Bonjour, je l'ai déjà configuré mais je suis obligé de mettre audio.nomdedomaine.synology.me:5581.

Est ce que si je vais dans "Avancé" -> "Reverse Proxy" je vais pouvoir supprimer les ports dans les URL ?

[Jeff777]

Il y a 3 heures, GB Informatics a dit :

Est ce que si je vais dans "Avancé" -> "Reverse Proxy" je vais pouvoir supprimer les ports dans les URL ?

C'est un des intérêts du reverse proxy :

https://audio.nomdedomaine.synology.me =====> http://IPlocalnas:5581

alors avec le script de redirection http ==> https, il suffit de taper audio.nomdedomaine.synology.me

 

Modifié le 1 août 2023 par Jeff777

[GB Informatics]

il y a 33 minutes, Jeff777 a dit :

C'est un des intérêts du reverse proxy :

https://audio.nomdedomaine.synology.me =====> http://audio.nomdedomaine.synology.me:5581

alors avec le script de redirection http ==> https, il suffit de taper audio.nomdedomaine.synology.me

 

 

Voila ce que j'ai fait, est ce que c'est correct en activant le HSTS ? (Même en local je voudrais utiliser le https

 

j'ai également mis le script 

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

[Joshua33]

@GB Informatics

Je ne suis pas un spécialiste du truc mais j'aurai mis Locahost à la place de l'IP... ca peut prevenir d'un futur changement d'IP

Après pour audio Station je ne suis pas certain que le port 6802 soit utilisé pour audio station 

Quels sont les ports réseau utilisés par les services DSM ? - Synology Centre de connaissances

Audio Station

1900 (UDP), 5000 (HTTP), 5001 (HTTPS), 5353 (service Bonjour), 6001-6010 (contrôle/synchronisation AirPlay)

TCP/UDP

[Jeff777]

Désolé j'ai fait une grossière erreur (corrigée dans mon post) c'est l'IPlocaldu nas qu'il faut à la place de 172.etc... (je suppose que c'est ton IP publique que tu as intérêt à masquer). Tu peux effectivement remplacer cet IP par localhost.

Je ne comprends pas pourquoi le port 6802, plus haut tu parles du port 5581 !. Le port http par défaut est le 8800 tu es libre d'en choisir un autre. 

Modifié le 1 août 2023 par Jeff777

[GB Informatics]

Il y a 10 heures, Jeff777 a dit :

Désolé j'ai fait une grossière erreur (corrigée dans mon post) c'est l'IPlocaldu nas qu'il faut à la place de 172.etc... (je suppose que c'est ton IP publique que tu as intérêt à masquer). Tu peux effectivement remplacer cet IP par localhost.

Je ne comprends pas pourquoi le port 6802, plus haut tu parles du port 5581 !. Le port http par défaut est le 8800 tu es libre d'en choisir un autre. 

C'était un exemple de mon adresse ip privée (pas celle du  ans, j'ai mis localhost. Le port c'était un test que je n'avais pas changé., j'ai remis 5801

Dans destination je peux aussi mettre https, ca change quoi ?

• Il faut créer un domaine DNS sur le nas c'est pour cette étape là ?

II. Configuration du nom de domaine chez le registrar

Je prends le cas d'une IP fixe car j'ai la chance de ne pas être confronté au problème des IP dynamiques !

Avoir son nom de domaine (NDD) va nous permettre d'accéder à notre réseau local depuis Internet. Une fois le NDD loué, il faut ajouter 2 entrées dans sa zone DNS :
   - une entrée de type A qui redirige le NDD vers l'IP fixe de la box (ndd.fr. => IP fixe)
   - une entrée de type CNAME qui redirigera l'ensemble des sous-domaines vers le NDD (*.ndd.fr. => ndd.fr.)

 
Après cette étape, les tentatives de connexion à fichiers.ndd.fr, video.ndd.fr,… seront acheminées à la box.

Modifié le 2 août 2023 par GB Informatics
correction

[Mike913]

Bonjour,

Mon audio station est accessible depuis l'exterieur sans numéro de port, je n' ai pas de reverse proxy, j' ai juste modifier dans le portail de connexion->application Audio Station comme suit;

Services Web:
Alias    Audio
Port HTTP -
Port HTTPS    8801 
Se connecter   https://DsStation:8801

Domaine:
Domaine personnalisé    audio.domaine.ext
Se connecter   https://audio.domaine.ext

et tout fonctionne

audio est un sous-domaine  de mon domaine chez ionos.

[Jeff777]

Il y a 2 heures, GB Informatics a dit :

Dans destination je peux aussi mettre https, ca change quoi ?

C'est inutile de crypter deux fois. Si tu as un fichier .htaccess opérationnel la requète "audio.tondomaine" quelle soit précédée de http, https ou rien du tout va automatiquement être sécurisée en https://audio.tondomaine; et le reverse proxy va la transformer en http://audio.tondomaine:portdéfinidansleRP.

Je ne comprends pas ta question : 

"Il faut créer un domaine DNS sur le nas c'est pour cette étape là ?"

Tu as un nom de domaine chez synology : nomdedomaine.synology.me     non ??

[Mike913]

Comme je l' ai dit plus haut pour les applications synology il n' y a pas besoin de reverse proxy.