Yoloyolo Posté(e) le 8 janvier 2019 Partager Posté(e) le 8 janvier 2019 Hello tout le monde ! J'ai un ensemble de containers docker qui tournent avec des services associés à des ports. Pour avoir accès à ces services j’ai un reverse proxy en place qui lie uneadressse.monndd.fr à un port de mon syno. Je souhaiterai que certains services (un wiki) ne soient pas accessible du wan mais seulement du lan. Pour cela, j'ai mis en place un profile d’accès lan en me basant sur un tuto sur les dns de fenrir pour les plages d’ip à renseigner, sur la page de syno assez sommaire sur le reverse proxy et sur ce post Reddit qui semble indiqué que l’orde des règles est important. Malheureusement je ne serai pas là si ça avait fonctionné 😓 J’ai essayé différents ordres de règles etc mais rien y fait quand je me connecte en VPN avec une adresse 10.8.0.6 le service avec le controle ' accès est bloqué. Je vous mets la config avec laquelle j'ai commencé et en laquelle je croyais mais qui n'est pas bonne à priori : Je ne comprends pas ce que je fais mal. Est ce que quelqu’un a déjà rencontré ce même genre de problèmes ou à une configuration similaire qui fonctionne ? Ou même une idée de vers où chercher une solution ? Merci d’avance de votre aide ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 9 janvier 2019 Partager Posté(e) le 9 janvier 2019 (modifié) Bonjour, Honnêtement je n'avais pas regarder le système de contrôle d'accès mais ça me semble intéressant ! Tu te connecte en VPN sur le Syno directement ? Avec "Tous" à "Autoriser", tu as bien accès ? A oui et question à la con : Tu redirige bien tout ton traffic en VPN ? 🙂 Modifié le 9 janvier 2019 par Balooforever 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yoloyolo Posté(e) le 9 janvier 2019 Auteur Partager Posté(e) le 9 janvier 2019 Hello Balooforever Oui je me connecte directement au syno en openvpn. Mon protocole de test, vu que je peux pas être en local, pour être sûr que je suis bien connecté en VPN, c'est que je joins d'abord le service par son ip local (192.168.1.4:3500) une fois que ça est bon, dans le meme onglet je regarde si je peux le joindre par son adresse.ndd.fr. J'ai fait plus de tests mais toujours pas de solutions: Les configs qui ne me donnent pas accès quand je suis connecté en LAN ou WAN sont (ip de mon ordi en VPN = 10.8.0.6) N=1 192.168.0.0/24 Autoriser 10.0.0.0/8 Autoriser 127.0.0.0/8 Autoriser 127.16.0.0/12 Autoriser Tous Refuser N=2 192.168.0.0/24 Autoriser 10.0.0.0/8 Autoriser 127.0.0.0/8 Autoriser 127.16.0.0/12 Autoriser Tous Refuser 10.8.0.6 Autoriser N=3 192.168.0.0/24 Autoriser 10.0.0.0/8 Autoriser 127.0.0.0/8 Autoriser 127.16.0.0/12 Autoriser Tous Refuser 10.8.0.6 Autoriser N=4 192.168.0.0/24 Autoriser 10.0.0.0/8 Autoriser 127.0.0.0/8 Autoriser 127.16.0.0/12 Autoriser Tous Refuser Tous Autoriser N=5 10.0.0.0/8 Autoriser Tous Refuser N=6 10.8.0.6/32 Autoriser Tous Refuser Les configs qui donnent accès à la page en WAN et LAN sont : N=7 192.168.0.0/24 Autoriser 10.0.0.0/8 Autoriser 127.0.0.0/8 Autoriser 127.16.0.0/12 Autoriser Tous Autoriser N=8 192.168.0.0/24 Autoriser 10.0.0.0/8 Autoriser 127.0.0.0/8 Autoriser 127.16.0.0/12 Autoriser N=9 192.168.0.0/24 Autoriser 10.0.0.0/8 Autoriser 127.0.0.0/8 Autoriser 127.16.0.0/12 Autoriser Tous Autoriser Tous Refuser N=10 Aucune règle dans le profile Mes conclusions sont donc d'après N=10 que tout est autorisé par défaut, que l'ordre semble compter quand tu compares N=9 et N=4 avec le haut de la liste qui passe d'abord. Mais après je comprends pas bien pourquoi quand je mets mon IP directement ou un CIDR 10.0.0.0/8 ca passe pas... Si t'as des idées ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 9 janvier 2019 Partager Posté(e) le 9 janvier 2019 Alors je sèche, surtout qu'en toute logique celui là devrait au moins marcher : N=5 10.0.0.0/8 Autoriser Tous Refuser C'est comme si contrôle d'accès ne prenait pas en compte ton IP OpenVPN 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yoloyolo Posté(e) le 9 janvier 2019 Auteur Partager Posté(e) le 9 janvier 2019 Je sais pas non plus, je vais tenter de voir si dans les logs du reverse proxy je vois quelque chose mais je sais pas vraiment ou regarder. Et ce weekend je pourrais être en local donc je vais voir si en local ca bloque aussi mais j'ai peu d'espoir à ce niveau là... Sinon pour résoudre un site seulement en local je peux toujours faire un dns local avec une adresse qui pointe vers mon wiki. Mais je trouve ça moins élégant, snif snif. On croise les doigts, je tiens au courant le forum de la suite ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 9 janvier 2019 Partager Posté(e) le 9 janvier 2019 J'ai fais pire perso, une VM pour les services distants et les services interne c'est le reverse proxy du NAS. Oui c'est pas propre mais ça marche 😄 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yoloyolo Posté(e) le 9 janvier 2019 Auteur Partager Posté(e) le 9 janvier 2019 😮 " By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN. " Ca annule complétement mon protocole de test ! et en regardant les logs de nginx je vois tous les blocages, avec l'adresse ip de ma connexion wan pas celle du VPN. Je vais tenter ce soir de changer la config VPN pour faire passer tout mon traffic dessus et on verra. Mais je crois que comme souvent le problème ce situe entre le clavier et la chaise 😅 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 9 janvier 2019 Partager Posté(e) le 9 janvier 2019 😂 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yoloyolo Posté(e) le 11 janvier 2019 Auteur Partager Posté(e) le 11 janvier 2019 (modifié) Ca fonctionne en LAN sans soucis, merci Balooforever pour l'aide ! Mais ca a soulevé un autre problème, en VPN ça ne fonctionne toujours pas... Je suis connecté au serveur VPN sur mon syno tout le traffic est redirigé, ma config VPN me donne accès au LAN. Mais quand je fais une requête, nginx me voit avec une ip client qui correspond à celle que j'utilise pour me connecter en VPN mais comme l'ip que le serveur VPN m'octroie. Je trouve pas comment régler ça, je comprends pas si ça vient du fait que j'utilise la même instance pour le serveur VPN et pour nginx. Je vais continuer à chercher mais je manque un peu de mots-clefs... Modifié le 11 janvier 2019 par Yoloyolo 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.