[Tuto] Reverse Proxy

[Thierry94]

Oui c'est vrai mais le reverse proxy permet de n'avoir que le port 443 ouvert sur l'extérieur pour accéder à toutes les applis

[Mike913]

Je n'ai que les ports 80 et 443 d'ouvert, il me semble aue  pour avoir un certificat il faut que le port 80 soit ouvert.

Quand on passe par le portail de connexion, je pense que DSM doit créer  un reverse proxy.

Dans le portail de connexion j' ai supprimer tous les ports HTTP, donc on ne peu se connecter qu' en HTTPS.

Modifié le 2 août 2023 par Mike913

[Mic13710]

il y a 11 minutes, Mike913 a dit :

Dans le portail de connexion j' ai supprimer tous les ports HTTP, donc on ne peu se connecter qu' en HTTPS.

Je n'en vois pas l'intérêt. Lorsque vous comprendrez comment fonctionne le reverse proxy, vous comprendrez le sens de ma remarque.

En gros, le reverse proxy permet de relier une adresse https vers un service en http. Il pourrait bien évidemment le faire vers du https, mais alors vous faites du double chiffrage ce qui n'est pas le top en terme de rapidité, n'apporte rien de plus en terme de sécurité (vous travaillez en localhost) et en plus vous devez avoir un certificat de part et d'autre pour l'origine et la destination.

J'ai vaguement l'impression que vous vous compliquez la vie....

[Mike913]

Il y a 3 heures, Mic13710 a dit :

J'ai vaguement l'impression que vous vous compliquez la vie....

Justement pour les applications je ne me suis pas compliqué la vie , j' ai juste réglé l'ensemble des paramètres des portail de connexion, sans utiliser le reverse proxy.

[Thierry94]

Je ne connaissais pas cette possibilité qui permet de ne pas avoir besoin d'ouvrir sur la box le port personnalisé d'une application pour y accéder de l'extérieur. Je viens de faire le test chez moi et effectivement j'accède bien à l'application depuis l'extérieur alors que je n'ai que le port 443 d'ouvert !

Merci Mike913 pour cette info

[Jeff777]

il y a 13 minutes, Thierry94 a dit :

Je ne connaissais pas cette possibilité

Ce n'est pas arrivé avec les dernières version de DSM 7.1 ou 7.2 ??

[Mike913]

Tu as raison je croit que c'est arrivé avec la version 7.1 

[Mike913]

Finalement il y avait déjà l'équivalent dans la version DSM 6.2.4 . Je n'ai pas pu le tester manque de certificat pour le 712.

[GB Informatics]

Il y a 8 heures, Jeff777 a dit :

C'est inutile de crypter deux fois. Si tu as un fichier .htaccess opérationnel la requète "audio.tondomaine" quelle soit précédée de http, https ou rien du tout va automatiquement être sécurisée en https://audio.tondomaine; et le reverse proxy va la transformer en http://audio.tondomaine:portdéfinidansleRP.

Je ne comprends pas ta question : 

"Il faut créer un domaine DNS sur le nas c'est pour cette étape là ?"

Tu as un nom de domaine chez synology : nomdedomaine.synology.me     non ??

Tu as un nom de domaine chez synology : nomdedomaine.synology.me     non ??  ==> Oui j'ai un domaine Synology

J'ai suivi la discussion avec Mike913.

J'ai laissé le script. C'est lequel et ce n'est pas très clair, quelle est la différence ?

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

-------------------------------------

RewriteEngine On

RewriteCond %{HTTPS} On

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

 

Je passe aux tests

[GB Informatics]

Il y a 10 heures, Jeff777 a dit :

C'est inutile de crypter deux fois. Si tu as un fichier .htaccess opérationnel la requète "audio.tondomaine" quelle soit précédée de http, https ou rien du tout va automatiquement être sécurisée en https://audio.tondomaine; et le reverse proxy va la transformer en http://audio.tondomaine:portdéfinidansleRP.

Je ne comprends pas ta question : 

"Il faut créer un domaine DNS sur le nas c'est pour cette étape là ?"

Tu as un nom de domaine chez synology : nomdedomaine.synology.me     non ??

J'ai compris en faisant les manipulations. Je me suis embrouille tout seul. Mon NAS étant utilisé par des personnes qui ne connaissent rien à l'informatique je voudrais savoir s'il est possible de modifier le script comme ci-dessous pour qu'il soit accepté : http://audio.nomdedomaine.synology.me ou  https://audio.nomdedomaine.synology.me

RewriteEngine On

RewriteCond %{HTTPS} On

RewriteCond %{HTTPS} Off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

J'ai fait les tests mais je ne sais si c'est ma connexion ou bien le script qui plante.

Puis-je avoir un avis svp ?

 

[GB Informatics]

Le 02/08/2023 à 15:58, Jeff777 a dit :

Ce n'est pas arrivé avec les dernières version de DSM 7.1 ou 7.2 ??

Avec le script suivant c'est opérationnel

RewriteEngine On

RewriteCond %{HTTPS} On

RewriteCond %{HTTPS} Off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

 

Merci pour votre aide

[Jeff777]

Tu peux supprimer la ligne: RewriteCond %{HTTPS} On

 

Modifié le 3 août 2023 par Jeff777

[GB Informatics]

Le 03/08/2023 à 19:21, Jeff777 a dit :

Tu peux supprimer la ligne: RewriteCond %{HTTPS} On

 

Je vous remercie ca fonctionne

[savfab77]

Bonjour,

j'ai suivi le tuto et je parviens à accéder à mes équipements comme je le souhaite, le tout sous un même et seul certificat.

video.ndd.ovh

photos.ndd.ovh

etc

quelques semaine plus tard, quand j'essaie d'ajouter un nouveau sous domaine, par exemple, passw.ndd.ovh, celui-ci n'est pas accessible. Le connexion n'est pas sécurisée. Certificat non valide. Je suis obligé de créer un spécifiquement propre à ce nouveau domaine.
La procédure à suivre pour ajouter un nouveau sous domaine, c'est l'ajouter sur le reverse proxy + paramétrer le certificat ?

Merci pour votre aide.

 

 

[CyberFr]

Bonjour @savfab77,

Il y a 21 heures, savfab77 a dit :

Le connexion n'est pas sécurisée. Certificat non valide. Je suis obligé de créer un spécifiquement propre à ce nouveau domaine.

Le nouveau reverse proxy est bien créé mais il faut l'ajouter à ton certificat. Tu dois pour cela le renouveler en ajoutant aux domaines déjà gérés le nouveau proxy. C'est le même certificat mais avec un domaine supplémentaire.

[Pinpon_112]

Bonjour tout le monde,

@firlin m'a aidé pour installé le reverse proxy sur mon nouveau NAS mais force est de constater que cela ne fonctionne pas, je tombe irrémédiablement sur la page 'Hello ! Welcome to Synology web Station'.

Je suis en 7.2 et je souhaite me connecter à mon NAS de cette manière : xyz.ndd.tld.  Cela fonctionnait sur mon ancien NAS mais je n'arrive pas à configuré le nouveau.

Un petit coup de main ?

[Kramlech]

il y a 2 minutes, Pinpon_112 a dit :

je tombe irrémédiablement sur la page 'Hello ! Welcome to Synology web Station'.

Cela veut dire que l'URL que tu utilises n'est pas reconnue par le Reverse Proxy.

Si tu est certain de l'URL, il peut s'agir d'un problème de HTTP / HTTPS ...

Est-ce que tu as paramétré une URL en https dans le Reverse Proxy?

Si tu saisis "xyz.ndd.tld" , est-ce que tu reçois "http://xyz.ndd.tld" ou "https://xyz.ndd.tld" ?

[Pinpon_112]

Je reçois l'url suivante : https://xyz.ndd.tld mais avec cela comme page, quelque soit l'adresse indiquée 😞 :

[Mike913]

Bonjour,

Je pense plutôt qu'il s'agit d'un problème de virtualhost,

Dans Webstation il faur créer un service Web, et ensuite le virtualhost dans portail web

[Pinpon_112]

Voici ce que j'ai pour Web Station :

Portail Web :

 

 

[firlin]

@Pinpon_112 voici ce que j'ai sur un nas passer de 7.1 en 7.2

et d’après ce qu'il me semble avoir compris il faut crée le service web avant le portail web.

[Pinpon_112]

@firlin,

J'ai suivi les fenêtres renseignées mais cela ne fonctionne toujours pas.

[Mike913]

Ton site c'est un site statique ? (pas de php) et il se trouve Ou, pourquoi le reverse proxy ?

quand tu créer un service web il y a 3 possibilités:

1- Site statique,

2- Site dynamique 

3- Conteneurisé.

D'après les copies d' écran tu as chois site statique (sans php)  

[Pinpon_112]

@Mike913,

Je n'ai pas de site web.  Je n'utilise qu'un reverse proxy pour appeler mon NAS par une adresse du style xyz.ndd.tld, de même pour mon Jeedom.  Cela passe aussi par là, c'est aussi bien en local que depuis l'extérieur.

[Jeff777]

il y a 31 minutes, Pinpon_112 a dit :

Je n'ai pas de site web.  Je n'utilise qu'un reverse proxy pour appeler mon NAS par une adresse du style xyz.ndd.tld

Bonjour, Dans ce cas je ne vois pas ce que viens faire un virtual host.

Vire tout cela, la seule chose que tu dois faire c'est de paramétrer "portail de connexion/DSM" en précisant les port http 5000 puis en créant ton reverse proxy  https/xyz.ndd.tld ===> http/locahost/5000.

Pour transférer les requêtes de http vers https soit tu coches la case qui va bien dans "portail de connexion/DSM" soit , mieux tu crées le fichier .htaccess.