Aller au contenu

Problème configuration d'un profile de controle d'accès avec un reverse proxy


Messages recommandés

Hello tout le monde !
J'ai un ensemble de containers docker qui tournent avec des services associés à des ports. Pour avoir accès à ces services j’ai un reverse proxy en place qui lie uneadressse.monndd.fr à un port de mon syno. Je souhaiterai que certains services (un wiki) ne soient pas accessible du wan mais seulement du lan.
Pour cela, j'ai mis en place un profile d’accès lan en me basant sur un tuto sur les dns de fenrir pour les plages d’ip à renseigner, sur la page de syno assez sommaire sur le reverse proxy et sur ce post Reddit qui semble indiqué que l’orde des règles est important.

Malheureusement je ne serai pas là si ça avait fonctionné 😓 J’ai essayé différents ordres de règles etc mais rien y fait quand je me connecte en VPN avec une adresse 10.8.0.6 le service avec le controle ' accès est bloqué.

Je vous mets la config avec laquelle j'ai commencé et en laquelle je croyais mais qui n'est pas bonne à priori : profile.PNG.08d5045a4b7c66315ff03dbbb3693c70.PNG

Je ne comprends pas ce que je fais mal. Est ce que quelqu’un a déjà rencontré ce même genre de problèmes ou à une configuration similaire qui fonctionne ? Ou même une idée de vers où chercher une solution ?

Merci d’avance de votre aide !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Honnêtement je n'avais pas regarder le système de contrôle d'accès mais ça me semble intéressant !

Tu te connecte en VPN sur le Syno directement ?

Avec "Tous" à "Autoriser", tu as bien accès ?

A oui et question à la con : Tu redirige bien tout ton traffic en VPN ? 🙂

Modifié par Balooforever
Lien vers le commentaire
Partager sur d’autres sites

Hello Balooforever

Oui je me connecte directement au syno en openvpn.

Mon protocole de test, vu que je peux pas être en local, pour être sûr que je suis bien connecté en VPN, c'est que je joins d'abord le service par son ip local (192.168.1.4:3500) une fois que ça est bon, dans le meme onglet je regarde si je peux le joindre par son adresse.ndd.fr.

J'ai fait plus de tests mais toujours pas de solutions:

Les configs qui ne me donnent pas accès quand je suis connecté en LAN ou WAN sont (ip de mon ordi en VPN = 10.8.0.6)

N=1

192.168.0.0/24  Autoriser
10.0.0.0/8      Autoriser
127.0.0.0/8     Autoriser
127.16.0.0/12   Autoriser
Tous            Refuser

 

N=2

192.168.0.0/24  Autoriser
10.0.0.0/8      Autoriser
127.0.0.0/8     Autoriser
127.16.0.0/12   Autoriser
Tous            Refuser
10.8.0.6        Autoriser

 

N=3

192.168.0.0/24  Autoriser
10.0.0.0/8      Autoriser
127.0.0.0/8     Autoriser
127.16.0.0/12   Autoriser
Tous            Refuser
10.8.0.6        Autoriser

 

N=4

192.168.0.0/24  Autoriser
10.0.0.0/8      Autoriser
127.0.0.0/8     Autoriser
127.16.0.0/12   Autoriser
Tous            Refuser
Tous            Autoriser

 

N=5

10.0.0.0/8      Autoriser
Tous            Refuser

 

N=6

10.8.0.6/32      Autoriser
Tous            Refuser

 

Les configs qui donnent accès à la page en WAN et LAN sont :

N=7

192.168.0.0/24  Autoriser
10.0.0.0/8      Autoriser
127.0.0.0/8     Autoriser
127.16.0.0/12   Autoriser
Tous            Autoriser

 

N=8

192.168.0.0/24  Autoriser
10.0.0.0/8      Autoriser
127.0.0.0/8     Autoriser
127.16.0.0/12   Autoriser

 

N=9

192.168.0.0/24  Autoriser
10.0.0.0/8      Autoriser
127.0.0.0/8     Autoriser
127.16.0.0/12   Autoriser
Tous            Autoriser
Tous            Refuser

 

N=10

Aucune règle dans le profile

 

Mes conclusions sont donc d'après N=10 que tout est autorisé par défaut, que l'ordre semble compter quand tu compares N=9 et N=4 avec le haut de la liste qui passe d'abord. Mais après je comprends pas bien pourquoi quand je mets mon IP directement ou un CIDR  10.0.0.0/8 ca passe pas...

Si t'as des idées ?

 

 

Lien vers le commentaire
Partager sur d’autres sites

Je sais pas non plus, je vais tenter de voir si dans les logs du reverse proxy je vois quelque chose mais je sais pas vraiment ou regarder. Et ce weekend je pourrais être en local donc je vais voir si en local ca bloque aussi mais j'ai peu d'espoir à ce niveau là...

Sinon pour résoudre un site seulement en local je peux toujours faire un dns local avec une adresse qui pointe vers mon wiki. Mais je trouve ça moins élégant, snif snif.

On croise les doigts, je tiens au courant le forum de la suite !

Lien vers le commentaire
Partager sur d’autres sites

😮 " By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN. "

Ca annule complétement mon protocole de test !

et en regardant les logs de nginx je vois tous les blocages, avec l'adresse ip de ma connexion wan pas celle du VPN. Je vais tenter ce soir de changer la config VPN pour faire passer tout mon traffic dessus et on verra. Mais je crois que comme souvent le problème ce situe entre le clavier et la chaise 😅

Lien vers le commentaire
Partager sur d’autres sites

 

Ca fonctionne en LAN sans soucis, merci Balooforever pour l'aide ! Mais ca a soulevé un autre problème, en VPN ça ne fonctionne toujours pas...

Je suis connecté au serveur VPN sur mon syno tout le traffic est redirigé, ma config VPN me donne accès au LAN. Mais quand je fais une requête, nginx me voit avec une ip client qui correspond à celle que j'utilise pour me connecter en VPN mais comme l'ip que le serveur VPN m'octroie. Je trouve pas comment régler ça, je comprends pas si ça vient du fait que j'utilise la même instance pour le serveur VPN et pour nginx. Je vais continuer à chercher mais je manque un peu de mots-clefs...

Modifié par Yoloyolo
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.