Aller au contenu

2 synology sur le même réseau avec deux noms de domaines différents en Reverse proxy ?


Messages recommandés

Bonjour à tous,

J'ai installé un deuxième Syno sur mon réseau, avec son propre nom de domaine.

Il est accessible de l'extérieur, par contre, quand j'essaie d'activer le reverse proxy, il m'est impossible de l'atteindre, sauf si je mets le port du nas à la fin de mon nom de domaine !?

Merci pour votre aide,

 

Lien vers le commentaire
Partager sur d’autres sites

Sorry si mon premier message n’était pas très explicite

Pour résumer un peu plus la situation

Il y a deux NAS Synology dans mon réseau

 

Chaque NAS a son propre nom de domaine

    • NAS#1 : mondomaine.ovh
    • NAS#2 : mondomaine.synology.me 

Pour le NAS#1 , il est accessible via l’extérieur, j’ai activé le reverse proxy, tout fonctionne correctement

Pour le NAS#2, il est accessible via l’extérieur, via son port par défaut 5001, par contre, dès que j’active le reverse proxy, il m’est impossible de l’atteindre.

Si je veux l’accéder, je dois taper l’adresse mondomaine.synology.me:5001.

Lien vers le commentaire
Partager sur d’autres sites

Les reverse proxy de tes NAS écoutent sur quel(s) port(s) ?

Normalement c'est le 443 (ou 80). Tu as donc dû forwarder ce port vers 1 nas dans ton routeur.

C'est normal que le reverse proxy du second NAS ne fonctionne pas.

Pour être sûr de ne pas dire de conneries, peux-tu détailler comment sont configurés tes reverse proxy (et les forwards dans ton routeur) ?

Georges.

 

Lien vers le commentaire
Partager sur d’autres sites

Au niveau du routeur

Mon NAS#1 : l’IP du NAS#1 avec port forwarding du port 443 (https) et 80 (http)
Mon NAS#2 : IP du NAS#2 avec port forwarding du port 443 (https) et 80 (http)

Au niveau du reverse proxy  des NAS

Mon NAS#1 :

Source : protocol : HTTPS, hostname : mondomaine.ovh : port : 443
Destination : protocol :HTTPS, hostname : localhost, Port : port du NAS#1

Mon NAS#2

Source : protocol : HTTPS, hostname : mondomaine.synology.me : port : 443
Destination : protocol :HTTPS, hostname : localhost, Port : port du NAS#2

 

Les reverse proxy de tes NAS écoutent sur quel(s) port(s) ?

NAS#1 : port que j’ai défini dans les DSM settings du même NAS
NAS#2 : port que j’ai défini dans les DSM settings du même NAS

Normalement c'est le 443 (ou 80). Tu as donc dû forwarder ce port vers 1 nas dans ton routeur.

Oui, exactement, voir ma réponse ci dessus

C'est normal que le reverse proxy du second NAS ne fonctionne pas.

Pourquoi est-ce normal ?

Pour être sûr de ne pas dire de conneries, peux-tu détailler comment sont configurés tes reverse proxy (et les forwards dans ton routeur) ?

Voir la réponse ci-dessus

Modifié par Dimebag Darrell
Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, Dimebag Darrell a dit :

Au niveau du routeur

Mon NAS#1 : l’IP du NAS#1 avec port forwarding du port 443 (https) et 80 (http)
Mon NAS#2 : IP du NAS#2 avec port forwarding du port 443 (https) et 80 (http)

 

Tu ne peux pas forwarder les ports vers 2 IP différentes, c'est l'une ou l'autre.

Georges.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Dimebag Darrell,

J'ai moi aussi deux Synos sur mon réseau local Syno1 et Syno2.

Un seul (Syno1) a un reverse proxy de configuré. Les services de Syno1 sont accessibles par www.ndd.fr (webservice), syno.ndd.fr (DSM de Syno1), ...

Pour accéder au DSM de Syno2, j'ai configuré dans le reverse-proxy de Syno1 la redirection suivante : https://Syno2.ndd.fr vers http://Nom_Local_de_Syno2:5000 et ça fonctionne très bien. Pas besoin de configurer un deuxième reverse-proxy sur le second syno.

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, dd5992 a dit :

Merci beaucoup pour ta réponse,

J'y ai pensé, en effet, avec le reverse proxy du premier,

Par contre, si jamais ton NAS#1 est down ? ça veut dire que ton deuxième est inaccessible ?

 

Bonjour @Dimebag Darrell,

J'ai moi aussi deux Synos sur mon réseau local Syno1 et Syno2.

Un seul (Syno1) a un reverse proxy de configuré. Les services de Syno1 sont accessibles par www.ndd.fr (webservice), syno.ndd.fr (DSM de Syno1), ...

Pour accéder au DSM de Syno2, j'ai configuré dans le reverse-proxy de Syno1 la redirection suivante : https://Syno2.ndd.fr vers http://Nom_Local_de_Syno2:5000 et ça fonctionne très bien. Pas besoin de configurer un deuxième reverse-proxy sur le second syno.

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 38 minutes, Dimebag Darrell a dit :

si jamais ton NAS#1 est down ? ça veut dire que ton deuxième est inaccessible ?

C'est vrai, mais c'est si rare. De toutes façons tu auras toujours la panne commune potentielle de ta box internet.

Autre solution (avec deux reverse-proxies) :

Je suis en train de tester IPV6 et il s'avère qu'avec IPV6 chaque machine a son (et même ses) adresse(s) IP. Tu peux donc traiter les deux Synos séparément. Attention dans ce cas à bien configurer le ou les firewall(s), sinon toutes les machines du réseau local sont exposées sur Internet.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, Dimebag Darrell a dit :

Pour le NAS#2, il est accessible via l’extérieur, via son port par défaut 5001, par contre, dès que j’active le reverse proxy, il m’est impossible de l’atteindre.

Si je veux l’accéder, je dois taper l’adresse mondomaine.synology.me:5001.

Bonjour,

Peut-être ceci :

La deuxième solution il faut la garder en cas de panne du NAS1

et quand le NAS1 fonctionne il faut   un enregistrement CNAME  NAS2.mondomaine.ovh et un enregistrement reverse proxy sur celui-ci.

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour, merci pour le retour,

Par contre j'ai deux noms de domaine différents

Mais il semblerait que techniquement ce n'est pas possible d'ouvrir le même port pour deux adresses IP différentes (notamment le 443)

Le ‎22‎/‎05‎/‎2019 à 18:32, Jeff777 a dit :

Bonjour,

Peut-être ceci :

La deuxième solution il faut la garder en cas de panne du NAS1 

et quand le NAS1 fonctionne il faut   un enregistrement CNAME  NAS2.mondomaine.ovh et un enregistrement reverse proxy sur celui-ci.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Voilà comment je fais avec mes deux syno :

Deux enregistrements Cname dans le syno1 qui héberge le DNS :

syno1 et syno2,  dans la zone privée (avec leur IP locales) et dans la zone publique vers ns.ndd

deux enregistrements dans le reverse proxy :

syno1.ndd ==> localhost:5000

syno2.ndd==>localhost:5100

Correction pour syno2 c'est l'IP locale du syno2 au lieu du localhost que j'ai mis !

les ports sont déclarés dans leur syno respectifs (réseau / paramètres DSM

avec syno1.ndd et syno2.ndd  j'arrive respectivement sur chaque interface DSM des syno.

Bien sûr il faut que le syno1 fonctionne pour que son reverse proxy redirige vers le bon syno.

Sinon avec un deuxième domaine et un deuxième DNS pour le syno2 on peut peut-être faire le symétrique et dans ce cas ça marcherait toujours pour joindre le syno encore debout !

Mais là je te laisse le soin d'essayer 😁

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

A mon avis ce que je veux faire est impossible techniquement.

Voir ma config ci-dessus. (un port redirigé pour 2 adresses IP différentes) avec deux reverse proxy

Par contre, il faudrait sortir le(s) reverse proxy hosté(s) sur les syno afin d'avoir qu'un seul reverse proxy qui ferait le job (devant les deux NAS)

Dans ce cas, mes deux syno seraient accessibles indépendamment (même si un des deux est crashé)

Lien vers le commentaire
Partager sur d’autres sites

@Dimebag Darrell: J'ai déjà vu dans un post ici (pas moyen de retrouver où) qui décrivait l'implémentation d'un reverse-proxy sur un Raspberry Pi qui redirigeait les requêtes sur l'un ou l'autre des deux synos du réseau local. Ça semble correspondre à ce que tu cherches. Si l'un des synos est en panne, l'autre reste accessible.

Par contre, il y a une possibilité de panne commune. Si le Raspberry Pi est planté, tu n'accèdes plus à aucun de tes synos.

Une autre possibilité (avec une meilleure redondance) c'est d'avoir 2 fournisseurs d'accès, avec deux box, qui permettent d'accéder au même réseau local. Avec un jeu de ndd qui pointe sur l'adresse externe de la première box qui pointe vers le reverse-proxy du premier syno, et un second jeu de ndd qui pointe sur l'adresse externe de la seconde box et qui pointe vers le reverse-proxy du second syno.
Tu es alors protégé contre :

  • la panne d'un des synos, l'autre est toujours accessible par l'autre chemin
  • la panne d'un des réseaux (box ou panne isp), les deux synos sont accessibles par l'autre réseau.

Il faut faire attention à n'avoir qu'un seul serveur DHCP actif ou mieux, affecter les IP du réseau local manuellement ainsi que les passerelles par défaut.
La seule possibilité de panne commune est le switch sur lequel sont branchées les deux box, mais les switches de marque sont rarement en panne.

Cela étant, c'est plus cher...

Modifié par dd5992
Lien vers le commentaire
Partager sur d’autres sites

Effectivement un peu riche @dd5992. Que penses-tu de ma proposition ? je ne suis pas très certain que cela marcherai mais peut-être qu"avec les deux domaines et les deux synos de @Dimebag Darrell ça vaut le coup d'essayer. 

 

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Le 31/05/2019 à 14:16, Jeff777 a dit :

Voilà comment je fais avec mes deux syno :

Deux enregistrements Cname dans le syno1 qui héberge le DNS :

syno1 et syno2,  dans la zone privée (avec leur IP locales) et dans la zone publique vers ns.ndd

deux enregistrements dans le reverse proxy :

syno1.ndd ==> localhost:5000

syno2.ndd==>localhost:5100

les ports sont déclarés dans leur syno respectifs (réseau / paramètres DSM

avec syno1.ndd et syno2.ndd  j'arrive respectivement sur chaque interface DSM des syno.

Bien sûr il faut que le syno1 fonctionne pour que son reverse proxy redirige vers le bon syno.

Sinon avec un deuxième domaine et un deuxième DNS pour le syno2 on peut peut-être faire le symétrique et dans ce cas ça marcherait toujours pour joindre le syno encore debout !

Mais là je te laisse le soin d'essayer 😁

 

Je prends comme hypothèse que l'objectif est l'accès aux syno1 et syno2 de l'extérieur par le port 443 uniquement (en https donc). Dans cette proposition le domaine syno1.ndd:443 ==> localhost:5000 envoie sur le DSM de syno1. Dans la box, le port 443 côté internet doit être redirigé vers de port 443 du syno1. Pour atteindre le syno2, la règle à mettre sur le reverse-proxy de syno1 est syno2.ndd:443 ==> syno2.ndd:5000 le deuxième syno2.ndd est interprété par le DNS local. Cette partie fonctionne.

Pour la partie avec un second nom de domaine (ndd2) ce qui pose problème est que en IPV4 le réseau local n'est accessible que par une seule adresse IPV4 externe. Donc pour atteindre notre réseau local, il n'y a pas d'autre choix que de mettre dans l'entegistrement A de ndd2 sur le DNS global, l'adresse IPV4 externe de la box (la même que pour ndd). Sur la box, la redirection du port 443 externe, renverrait vers le même port 443 de syno1, donc pas moyen d'être symétrique et d'envoyer vers syno2, donc pas moyen comme ça de pouvoir atteindre syno2 si syno1 est en panne.

Toutefois, ton idée m'a fait penser à une autre solution qui doit fonctionner (sans supplément de coût 😉).
En IPV6, on dispose de tout un tas d'adresses externes qui peuvent désigner diverses machines du réseau local; et donc on peut en utiliser une pour atteindre syno2 directement. On garde la première partie de ta solution, en IPV4 comme actuellement (on pourra la passer ensuite en IPV6 pour avoir une symétrie parfaite). Pour la partie avec le second domaine, on utilise l'adresse IPV6 de syno2 (en configurant son pare-feu de manière à n'accepter que des accès internet sur le port 443) on a donc une entrée DNS global AAAA pour *.nnd2 vers syno2. Et là ton idée fonctionne : Un reverse-proxy sur syno2 avec syno1.ndd2:443 ==> syno1.ndd:5000 donnera accès de l'extérieur au DSM du syno1 et syno2.ndd2:443 ==> localhost:5000 donnera accès au DSM de syno2.

On peut même éviter le coût du second domaine en utilisant par exemple les domaines syno1a.ndd et syno2a.ndd pour le passage par syno1 et syno1b.ndd et syno2b.ndd pour le passage par syno2.

Lien vers le commentaire
Partager sur d’autres sites

 

!!!! En re-vérifiant ce que j'avais dit je m'aperçois que je me suis planté dans la retranscription de ma solution.!!!!!.Mais tu as corrigé toi même 😊

On reprend :
Ce qui marche chez moi c'est :

Sur syno1

Zone privée : deux enregistrements A : syno1.ndd1==>192.168.0.X1   et syno2.ndd2==>192.168.0.X2

les deux noms renvoient vers les IP locales des syno

Zone publique deux CNAME vers le dns serveur  :   ns.ndd

Reverse proxy syno1.ndd1==>192.168.0.X1:5000   et syno2.ndd2==>192.168.0.X2:5100

(maintenant je viens d'essayer avec le même port 5000 sur les deux syno, bien sûr ça marche aussi en interne et externe)

J'imaginais faire la même chose avec le syno2 en symétrique (utiliser le deuxième domaine faire un dns reprendre les zones et le reverse proxy) et mettre les deux DNS (du syno1 et du syno2) dans le DHCP de la box. Ce qui est idiot puisqu'ils ont la même IP , d'ailleurs c'est certainement pas possible d'avoir deux DNS avec la même IP . Alors oui les IPV6 peuvent être la solution....j'ai bien envie d'essayer 😁

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Le 22/05/2019 à 11:48, Dimebag Darrell a dit :

Il y a deux NAS Synology dans mon réseau

 

Chaque NAS a son propre nom de domaine

    • NAS#1 : mondomaine.ovh
    • NAS#2 : mondomaine.synology.me 

Comment c'est possible ???

Lien vers le commentaire
Partager sur d’autres sites

Il y a 19 heures, Jeff777 a dit :

 

d'ailleurs c'est certainement pas possible d'avoir deux DNS avec la même IP .

Peut être avec deux noms de domaines distincts, mais je n'ai jamais testé, mais

  • des enregistrements DNS de type A du genre xxx.ndd.fr et yyy.ndd.fr par exemple peuvent pointer vers la même adresse (IPV4 ou IPV6) - déjà testé
  • une adresse de type xxx.ndd;fr et une adresse de DDNS (par ex zzz.synology.me) peuvent pointer vers la même IP - déjà testé
Il y a 9 heures, Jeff777 a dit :

"Chaque NAS a son propre nom de domaine

    • NAS#1 : mondomaine.ovh
    • NAS#2 : mondomaine.synology.me "

Comment c'est possible ???

de toute façon, si @Dimebag Darrell n'a qu'une box à laquelle sont reliés les deux synos, les deux noms de domaines pointent vers la même adresse et un seul NAS est accessible (déterminé par la redirection du port 443 dans la box).

C'est ce qui diffère avec la solution avec IPV6 ou les deux NAS sont accessibles avec des IPV6 différentes.

Lien vers le commentaire
Partager sur d’autres sites

Bon @Dimebag Darrell et @dd5992 j'ai une idée toute bête qui mérite d'être exploitée sur l'affaire des deux synos :

Lorsque le syno1 est hors circuit il reste le DNS secondaire et la propagation des enregistrements et une requête internet est résolue à ce niveau.

Conclusion dans la zone publique il faut :
mettre l'adresse IPV6 du syno2 par un enregistrement AAAA celle ci est répliquée dans le DNS secondaire (Hurricane electrique for me) puis communiquée au monde (on vérifie la propagation avec un test AAAA sur syno2.ndd à l'aide de www.whatsmydns.net)

On débranche le syno1  la propagation reste en place tant que le DNS secondaire est vivant ( j'ai vérifié en forçant la mise à jour de la zone esclave que les enregistrements restaient en place mais je ne sais pas ce qui se passe à l'expiration des TTL)

Les ports ?...........j'ai laissé les ports par défaut 80,443,5000,5501 sur les deux syno et pas de redirection vers le syno2. J'ai gardé le .htaccess et le reverse proxy identiques sur les deux syno.

En local je me connecte au syno2 en https avec l'adresse syno2.ndd que le syno1 soit présent ou non.

Maintenant pour le test en externe j'ai quelques difficultés. Je n'ai pas la 4G et je n'ai pas trouvé de proxy qui fasse IPV6.

Alors j'ai fait du loopback sans être certain que la démonstration soit béton pour cela j'ai interdit dans le pare-feu du syno2 les adresses locales en IPV4 et en IPV6.

Je me connecte au syno2 ! L'adresse syno2.ndd est bien résolue en https et dans le journal je vois l'adresse IPV6 temporaire de mon PC.

Bon ça parait beaucoup trop simple pour que ce soit la solution ??. Mais c'est peut-être une piste à exploiter......

J'ai eu un doute et j'ai demandé à un copain de se connecter depuis son PC et .....ça marche !

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Jeff777 a dit :

Bon @Dimebag Darrell et @dd5992 j'ai une idée toute bête qui mérite d'être exploitée sur l'affaire des deux synos :

Lorsque le syno1 est hors circuit il reste le DNS secondaire et la propagation des enregistrements et une requête internet est résolue à ce niveau.

Conclusion dans la zone publique il faut :
mettre l'adresse IPV6 du syno2 par un enregistrement AAAA celle ci est répliquée dans le DNS secondaire (Hurricane electrique for me) puis communiquée au monde (on vérifie la propagation avec un test AAAA sur syno2.ndd à l'aide de www.whatsmydns.net)

On débranche le syno1  la propagation reste en place tant que le DNS secondaire est vivant ( j'ai vérifié en forçant la mise à jour de la zone esclave que les enregistrements restaient en place mais je ne sais pas ce qui se passe à l'expiration des TTL)

Les ports ?...........j'ai laissé les ports par défaut 80,443,5000,5501 sur les deux syno et pas de redirection vers le syno2. J'ai gardé le .htaccess et le reverse proxy identiques sur les deux syno.

En local je me connecte au syno2 en https avec l'adresse syno2.ndd que le syno1 soit présent ou non.

Maintenant pour le test en externe j'ai quelques difficultés. Je n'ai pas la 4G et je n'ai pas trouvé de proxy qui fasse IPV6.

Alors j'ai fait du loopback sans être certain que la démonstration soit béton pour cela j'ai interdit dans le pare-feu du syno2 les adresses locales en IPV4 et en IPV6.

Je me connecte au syno2 ! L'adresse syno2.ndd est bien résolue en https et dans le journal je vois l'adresse IPV6 temporaire de mon PC.

Bon ça parait beaucoup trop simple pour que ce soit la solution ??. Mais c'est peut-être une piste à exploiter......

J'ai eu un doute et j'ai demandé à un copain de ce connecter depuis son PC et .....ça marche !

Bravo @Jeff777!

Il me semble que cette méthode est très proche de celle que je proposais plus haut. Tu as ajouté une amélioration qui consiste à avoir la même adresse en https://xxx.ndd.yy avec si j'ai bien compris un enregistrement DNS A qui pointe vers l'adresse IPV4 du syno1 (à travers la redirection dans la box) et un enregistrement DNS AAAA vers l'adresse IPV6 du syno2.

Tu as comme ça une configuration symétrique.

En mode sans panne dans le cas ou l'appelant est en IPV6, il ira sur syno2, s'il est en IPV4, il ira sur syno1 et s'il est en double stack (cas le plus courant quand l'IPV6 est disponible pour lui) il ira sur syno2 (priorité de IPV6 sur IPV4).

Le doute que j'avais est qu'au cas où un syno est en panne et que c'est celui qui est visé (voir § précédent) il faut être sûr que la connexion bascule sur l'autre ligne. Dans ton test, tu as prouvé que la partie en IPV6 fonctionnait, et donc l'accès se faisait sur syno2. Il faudrait tester le cas où c'est le syno2 qui est arrêté pour voir si la connexion de ton copain (double stack - IPV6 ou sinon IPV4) bascule bien sur IPV4 et donc accède par syno1 et ne reste pas coincé en essayant un accès en IPV6 sur syno2. Je pense que ça devrait marcher.

De toute  façon, si le PC appelant est en IPV4 seulement et que le syno1 est en panne, ça devrait coincer, mais c'est normal.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.