Aller au contenu

Accès externe : Reverse Proxy


Messages recommandés

  • Réponses 123
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Images postées

il y a une heure, Thierry94 a dit :

OK je ne connaissais pas cette possibilité d'accès à la box.
Son problème de time out ne pourrait pas venir d'un blocage de son adresse IP par le NAS (si le blocage IP est activé)

Oui et ce n'est même pas une "possibilité" c'est un port donné par le FAI, non changeable et que l'on ne peut enlever...

Le time-out n'est plus vraiment d'actualité dans le sens où on accède enfin à la BOX.

Le time-out revient seulement si je ne renseigne plus le PORT. Et c'est là que c'est gênant car il faudrait pouvoir accéder à mon réseau local sans ce port, afin de pouvoir renseigner les ports pour le NAS (ou automatisé par la suite via le reverse-proxy).

Lien vers le commentaire
Partager sur d’autres sites

il y a 40 minutes, Thierry94 a dit :

Quand tu ne mets pas le port comment sais tu que c'est la box qui coince (routage nat inopérant) ou si c'est le reverse proxy du NAS qui ne repond pas ?

En local ton reverse proxy fonctionne ?

Bah ce n'est pas une question de NAS! Mettons je débranche totalement le NAS, si je vais sur l'IP fixe avec port : OK j'accède à ma box.

Si je vais sur l'IP sans le port, je n'accède plus à la box...

Modifié par JuGdx
Lien vers le commentaire
Partager sur d’autres sites

Le port de la box sert à accéder à l'interface de la box depuis internet ?
Sans le port la box effectue le routage en fonction de ce qu'elle a dans sa table, apparemment tu routes les ports 80 et 443 vers ton NAS (copies écran plus haut dans le post)

Après c'est le NAS qui prend le relais donc il faut que la requête traverse le firewall, puis qu'elle aboutisse sur une application du NAS …

Si tu rentres sur la box avec le port 5001 cela ne peut pas marcher car ce port n'est pas ouvert sur ton firewall (ce qui est très bien car pas très sécurisant) -> donc ta requête n'aboutie pas -> time-out
Sans port c'est pareil il n'y a pas d'application pour prendre en charge la requête.

Il faudrait que tu ais au moins un port d'application ouvert pour permettre à un test  d'aboutir. Si tu as Audio Station ou Photo Station ou file station installé tu peux essayer avec une de ces 3 applications. Il suffit dans DSM (panneau de config, portail des applications) d'indiquer un port https et de l'ajouter dans le firewall. Pour tester il te suffit alors de saisir https://ndd.xx:leport et tu devrais avoir la fenêtre de login. 

 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Ah j'ai loupé cette info …
Je viens de relire tous les post et effectivement à un moment il y avait le 5001 ouvert sur le router.
Mais on parle de box et de routeur … il a quoi exactement comme équipements actifs sur son réseau : Box -> NAS ou Box -> Router -> NAS ou encore une autre config ?
 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Oui pardon j'ai eu des imprévus ce soir @Zeus 🙂

Pour te répondre @Thierry94, j'ai bien ces équipements : BOX + NAS

Et la box a une fonction routeur qui est active actuellement.

 

J'avais oui le port 5001 vers le NAS ouvert sur la box mais rien n'y fait. Si je ne tape pas https://IP_PUBLIQUE:PORT_BOX (c'est un truc genre 4430) c'est un port qui est configuré et donné dans l'URL que je ne peux changer...

Donc si je tape ça, c'est OK et je tombe sur ma page d'accueil RED. Sinon si je ne met pas ce port ou un autre style 5001 avec les redirections de ports dans la box, je pars en time-out.... Donc je n'arrive même pas jusqu'à la box donc encore moins au NAS. 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Re-bonjour à tous.

Je remercie déjà les personnes qui m'ont apporté leurs précieux conseils depuis mon dernier post.

Je vous rappelle mon objectif initial et vous fait un petit état des lieux.

 

Objectif : accéder via du reverse proxy et un domaine qui m'appartient à certaines applications de mon NAS depuis l'extérieux : (File Station, Download Station, ...).

 

J'ai complètement changé la configuration, et comme un dessin c'est mieux que des longs discours :

IMG_397E74ADC760-1.thumb.jpeg.43fb80bc7d405caa35eba49d4c9b1620.jpeg

 

Voici le schéma de mon réseau.

Le gros est dans le garage.

La box RED SFR en mode BRIDGE (le mode Routeur désactivé), qui vient en entrée du Routeur Synology [WAN].

A côté du routeur sur l'étagère (reliés aux ports LAN) :

- le HUB Philips HUE (on s'en fiche un peu ici)

- le NAS Synology DS716+II

- un Switch

Le switch quant à lui (via le panneau électrique du garage) redirige dans les prises RJ45 des pièces où se situent mes autres appareils.

Et les derniers : Laptops / mobiles / tablettes et l'imprimante, sont en WIFI.

 

Voici l'état de la box en Bridge :

1749823204_Screenshot2019-04-24at20_02_54.thumb.png.ec62f782170d743a5b29f393c296028a.png

 

J'ai configuré le NAS en suivant le tuto de Fenrir :

 

J'ai ensuite configuré le Routeur, de la même manière en suivant le tuto de @Zeus  :

 

Je n'ai juste pas changé le DNS avec ce que tu donnes dans ton tuto car la première fois que j'ai fait cette config j'ai du reset les réglages pour accéder au routeur (bizarre) !?

(Et j'ai configuré les HTTP et HTTPS sur 8000 et 8001 pour ne pas avoir les mêmes ports que le NAS.)

J'ai donc toujours sur le point DNS :

1819729465_Screenshot2019-04-24at19_29_31.thumb.png.488c4c860e3c1419ef9cf1973d7e5110.png

 

J'ai ajouté dans les réservations DHCP tous mes appareils que je veux avec une IP Fixe comme le NAS en question sur 192.168.10.100 :

497211671_Screenshot2019-04-24at19_34_31.thumb.png.eef263d0c9e8579007412959caf16671.png

Au niveau des transmissions de ports voici ce que j'ai :

1417819231_Screenshot2019-04-24at19_37_58.thumb.png.9c9aa34ad4238bb14f74145e2d37c3b6.png

Je ne suis pas certain que 80,443 soient nécessaires étant donné que les ports sur ce dernier pour HTTP et HTTPS sont respectivement 5000 et 5001 ??

J'ai ainsi dans le pare-feu les règles automatiques et des ajouts sur le Routeur :

1502103012_Screenshot2019-04-24at19_41_59.thumb.png.a319373d29fb01c842b29444616d215c.png

 

Et sur le NAS voici le pare-feu :

1755890642_Screenshot2019-04-24at19_55_36.thumb.png.85746a4bada460703f6f4c315c6b0200.png

 

J'ai aussi suivi le tutoriel suivant de @Zeus pour le domaine :

J'avais déjà un domaine. Qui est lié à mon site internet PRO. Sur lequel j'ai ajouté :

- un sous-domaine en A : wmsyno.ndd.fr qui pointe vers mon IP Fixe du FAI trouvée depuis mon-ip.com (bien propagée vérifié depuis www.whatsmydns.net)

- un sous-domaine en CNAME : wmsyno-files.ndd.fr qui pointe vers le sous-domaine en A au dessus.

 

------ PARTIE IMPORTANTE --------

Lorsque je suis en local, je tape l'IP du NAS en https://192.168.10.100:5001, c'est OK

Toujours sur le wifi, en local, je tape wmsyno.ndd.fr:5001 j'arrive parfaitement sur la page de login du NAS (oui car les reverse-proxy ne sont pas encore faits). Donc OK ! D'ailleurs on voit qu'il passe bien par ce domaine car le cadenas du SSL est vert sur Firefox (sur mon NAS le certif est lié à ce sous-domaine).

Par contre je me connecte de l'extérieur à wmsyno.ndd.fr:5001 ou alors même IP_FIXE:5001 et c'est un TIME_OUT.

 

Du coup je ne parviens pas à voir ce qui me bloque l'accès depuis dehors ?

Je suis pas loin du but... il me maque ce palier et le reste ira tout seul je crois...

Avez-vous une idée ?

 

Je parviens même en local à accéder à ces 2 ports :

786499544_Screenshot2019-04-24at19_56_51.thumb.png.805993c6245da6746ee5554e62b44024.png

 

Merci et pardon pour le long post mais au moins c'est au plus clair!

Je pense qu'il ne manque rien.

 

Modifié par JuGdx
Lien vers le commentaire
Partager sur d’autres sites

Alors pour info supplémentaire, je suis aller fouiller sur Synology.

Ils disent aussi de faire les simples manip d'ajouter l'IP et les ports (privés/publiques) dans le routeur pour ouvrir l'accès.... chose que j'ai à priori faite...

Par contre je suis tombé, sur leur site, sur un petit lien intéressant : https://www.yougetsignal.com/tools/open-ports/

Et lorsque je tape mon IP Publique (que m'affiche bien mon routeur et qui est celle de mon-ip.com) et le port 443, 5001, 5080...etc ==> CLOSE

Comment ce fait-il qu'ils soient closed alors que je les ai ouverts... 😞

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Parce que tu as ouvert ces ports pour certains pays sans y ajouter les USA et que le serveur sur lequel tu fais cette demande est hébergées aux USA 🙂

pQP00PV.png

Ouvre provisoirement ton port pour les USA sur ton routeur et ton NAS et tu verras que le port passe en open 😉

 

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Bonjour, Parce que tu as ouvert ces ports pour certains pays sans y ajouter les USA et que le serveur sur lequel tu fais cette demande est hébergées aux USA

pQP00PV.png&key=9a785868cc6ca63e0404a7c02ccae0d887da6791605aedfb1499ff2699121ee0

Ouvre provisoirement ton port pour les USA sur ton routeur et ton NAS et tu verras que le port passe en open

 

 

 

Hello, oui mais justement dans mes captures tu verras que les ports 80,443 et 5001 sont reportés dans le pare-feu automatiquement et que les "ip source" sont en "TOUS"...

 

Après sur le NAS les ports sur le Pare-feu sont "443,80" en IP Source mon IP Fixe ! P'tet que ça n'est pas bon?

 

En gros y'a que les IP locales pour tous les ports qui sont accessibles (réglés de Fenrir). Et juste 80,443 que j'ai mis pour l'IP FIXE mais ça je pense pas que ce soit forcément bon.

Pour moi en fait comme le protocol TCP passe par le routeur en arrivant au NAS je pensais qu'on était en IP Locale du routeur ou IP FIXE! Mais pas l'ip externe ? Quelle est la bonne réponse de ces 2 ?

Lien vers le commentaire
Partager sur d’autres sites

Tu as alors pas bien respecté le tuto de Fenrir.

Ça fonctionne pas comme ça tes règles.

Le minimum quand tu ouvres un port, c'est pour ton pays...

Je ne parle pas bien entendu des trois ou quatre règles qui concernent les plages IP privées sur nos réseaux privés !

Lien vers le commentaire
Partager sur d’autres sites

D'accord mais du coup 2 questions:

1- Étant donné que le NAS est sur les ports 5000 et 5001 est-il utile d'ouvrir l'initial 80,443?

2- Dois-je ouvrir sur le NAS les ports 5000 et 5001 des IPs en France ? Ou alors quand on arrive sur le NAS (même depuis dehors) c'est au travers de l'IP du routeur auquel cas les IPs locales suffisent ?

Lien vers le commentaire
Partager sur d’autres sites

Tu arrives à m'embrouiller sur tes questions 😂

Tu es sur un sujet parlant du reverse proxy, par conséquent, tu devrais avoir sur ton routeur que le port 443 d'ouvert voir le port 80 aussi si il y a une redirection derrière sur le 443.

Et donc le 5001 ne serait pas ouvert sur le routeur mais fonctionnel via une règle de proxy inversé.

Et encore une énième fois, on évite en général de donner un accès externe à DSM sauf éventuellement via son serveur VPN et ceci pour des raisons évidentes de sécurité.

Lien vers le commentaire
Partager sur d’autres sites

Oui mais je vais mettre le reverse proxy en place mais d'abord j'essaie d'accéder au NAS de l'extérieur ! Si c'est OK je vire l'accès DSM et je le fais en Reverse Proxy pour les différentes applications.

Donc si je comprends bien sur le routeur j'ouvre seulement 443 et 80? Pas 5000 ou 5001 ou autre port que j'utiliserai via reverse proxy ou autre ?

Lien vers le commentaire
Partager sur d’autres sites

Je crois que tu ne lis pas ou ne comprend pas ce que j'écris.

Citation

Donc si je comprends bien sur le routeur j'ouvre seulement 443 et 80?

Oui comme je l'ai dit juste au dessus. Pour le port 80, c'est à la condition d'y ajouter une redirection automatique https.

Est-ce que tu sais faire ça ou tu te souviens l'avoir vu quelque part sur le forum ?

Lien vers le commentaire
Partager sur d’autres sites

Oui non mais il y a une réponse que je n'ai pas eue et c'est là où je pêche je pense pour les ouvertures !

Quelle IP arrive au NAS à travers le Routeur depuis l'extérieur ?

Par exemple je suis quelque part, je souhaite accéder disons à FileStation et j'ai mis un port 5081 sur ce dernier.

 

Du coup j'appelle https://IP_FIXE:5081 ! Le routeur reçoit le port 443 ou 5081 ?

En gros sur le routeur quel port dois-je ouvrir niveau pare-feu ? 443 only ou 5081 aussi ? (apres c'est sur que sur ce dernier faut faire une redirection de 5081 vers le NAS ça ok).

Et sur le NAS dois-je ouvrir 5081 sur la france par ex, ou juste les IP locales de Fenrir suffissent car c'est le routeur qui contacte le NAS ?

 

Si je comprends ça je pense que je comprendrai mieux quoi faire vraiment pour bien rediriger les ports 🙂

Modifié par JuGdx
Lien vers le commentaire
Partager sur d’autres sites

PS: Dans les règles actuelles comme tu peux le voir j'ai le port 5001, 80 et 443 qui sont ouverts vers le NAS sur le routeur.

J;ai aussi essayé juste pour tester d'ouvrir ces ports en source (le monde entier) sur le NAS (dans le Pare-Feu) et toujours "CLOSED" sur le site qui check....

Lien vers le commentaire
Partager sur d’autres sites

Citation

Quelle IP arrive au NAS à travers le Routeur depuis l'extérieur ?

Bon je recommence mais il faut suivre 🙄

En venant de l'extérieur, ça va faire comme ceci.

Ex : je vais sur mon NAS pour voir des documents en suivant le lien https://file.ndd.tld

Ce qui donne donc :

  1. https://file.ndd.tld
  2. Ça arrive chez toi en commençant par ton routeur.
  3. Ton routeur consulte ces données interne et constate que le domaine demande un accès au port 443.
  4. Il voit que le port 443 est autorisé pour le NAS alors il redirige la demande au NAS.
  5. Le NAS reçoit la demande et analyse si oui ou non c'est accepté.
  6. Si bien entendu c'est accepté alors il permet l'affichage de la page.

Pour conclure ta demande, l'IP arrivant au NAS depuis l'extérieur est celle qui t'est attribué à ce moment là que tu sois chez un ami, ta femme ou depuis un aéroport, on s'en fout de ça.

Citation

Du coup j'appelle https://IP_FIXE:5081 ! Le routeur reçoit le port 443 ou 5081 ?

Dans ce cas présent, tu demandes un domaine avec le port 5081 donc le routeur va regarder ce port !

Il s'en fout du domaine en faite. Lui, il ne voit que le port !

Citation

En gros sur le routeur quel port dois-je ouvrir niveau pare-feu ? 443 only ou 5081 aussi ? (apres c'est sur que sur ce dernier faut faire une redirection de 5081 vers le NAS ça ok).

Tu es un peu dur de la feuille 🤔

Quand je te parlais du port 80 et 443, c'était uniquement dans le but de créer un reverse proxy comme tu le voulais mais comme tu mélanges tout, c'est pas toujours évident de te suivre.

Si tu n'en es pas à l'étape Proxy inversé, alors tu dois ouvrir les ports liés au services...

Si tu en es à l'étape du Proxy inversé, tu dois uniquement ouvrir le port 443 et éventuellement le port 80 avec la condition que je t'ai déjà expliqué ici et en MP.

Ensuite, c'est le Proxy inversé qui aura pour rôle de recevoir la demande via le port 443 et en analysant le domaine demandé saura sur quel port (local) il doit redirigé la demande.

Citation

Et sur le NAS dois-je ouvrir 5081 sur la france par ex, ou juste les IP locales de Fenrir suffissent car c'est le routeur qui contacte le NAS ?

Encore une fois, ça dépend...

  1. Pour la France, c'est à toi de voir. Mais afin de limiter des attaques possibles, on recommande forcément de limiter à son pays. Maintenant, si tu voyages en permanence au Canada par exemple alors forcément, tu accepteras aussi le Canada.
  2. Pour les IP locales, elles permettent (dans le tuto de Fenrir) d'accepter toutes connexions aux IPs privées donc en local ! C'est pour cette raison d'ailleurs qu'il ne met pas un pays en restriction et il les met sur "tous" !
Citation

J;ai aussi essayé juste pour tester d'ouvrir ces ports en source (le monde entier) sur le NAS (dans le Pare-Feu) et toujours "CLOSED" sur le site qui check....

Tu fais forcément quelque chose de mal. Est-ce que tu autorises bien les USA sur ton routeur et ton NAS ?

Quand je t'ai dit que c'était certainement parce que tu n'acceptais pas les connexions des USA en te montrant que le site que tu visitais était hébergé sur un serveur américain, j'ai de mon côté fait le test.

Et en ouvrant à ce pays mon port 443, c'était en open. C'est repassé en close quand j'ai enlevé ce pays dans mes autorisations sur mon routeur ET sur mon NAS !

Lien vers le commentaire
Partager sur d’autres sites

Je comprends mieux c'est beaucoup plus clair merci.

 

Du coup côté routeur :

Du coup sur le routeur en transmissions de ports je n'ai ouvert que 443, 80 vers l'ip locale du NAS.

J'ai viré les règles auto afin de pouvoir définir les IP sources dans le pare-feu. Et j'ai donc ajouté une règle des IP sources FRANCE, vers les ports 80, 443 de l'IP du NAS.

 

Côté NAS :

Dans le pare-feu j'ai 80,443 ouverts sur la France en TCP.

J'ai ensuite repris le tuto de Kawamashi sur le reverse proxy.

Jusqu'à l'étape V non incluse tout fonctionne. Donc si je tape en locale https://192.168.10.100:PORT_FILES c'est OK je tombe direct desssus.

Par contre en ayant défini un A vers l'IP Fixe et CNAME sur mon DNS (il y a quelques semaines et tout est propagé)  : https://wmsyno-files.ndd.fr. et bien sur, le reverse proxy sur cette IP Source redirigeant vers http://localhost:PORT_FILES, c'est un TIME_OUT. C'est là où j'ai du mal à comprendre car je fais exactement comme sur les tutos.. 😞

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.