Aller au contenu

Redirection du port 443 vers le 5001 du DSM non souhaité


OUARZA

Messages recommandés

Bonjour à tous,

Je rencontre un problème que je n'arrive pas à solutionner.

En interne, si j'utilise mon url en https://XXX.synology.me(:443), je suis redirigé vers mon NAS sur le port défini dans Réseau > Paramètre DSM (5001) https://XXX.synology.me:5001

En externe, si j'utilise mon url en https://XXX.synology.me(:443), je suis redirigé vers mon Raspberry. 

Dans ma box, la redirection des ports est comme cela :

443 => 443 => Raspberry
5001 => 5001 => NAS Synology

Si j'éteins mon NAS, en interne, je suis bien redirigé vers mon Raspberry (comportement souhaité).

Je n'arrive pas à trouvé le paramètre pour que le NAS ne redirige pas à tort le port 443 vers le port 5001 en interne.

J'ai désactivé la redirection automatique des connexions http vers https.

Merci pour votre aide.

Mathieu

Lien vers le commentaire
Partager sur d’autres sites

  • OUARZA a modifié le titre en Redirection du port 443 vers le 5001 du DSM non souhaité

Il y a un "reverse proxy" (ce n'est sans doute pas le bon terme dans ce cas là) invisible et intégré au DSM qui fait que si tu appelles le NAS (par son ip ou par un nom de domaine) sans préciser le port (80 si http et 443 si https) ET que tu n'as pas installé Web Station, tu es automatiquement redirigé vers le DSM (donc vers le port 5000 ou 5001 -  c'est pour cela que je parle de reverse proxy). Ceci explique pourquoi en interne tu es redirigé vers ton NAS.

Cette fonctionnalité se désactive si tu installe Web Station. Dans ce cas l'appel du NAS partira bien vers les ports 80 ou 443 de Web Station (et pas vers ton Raspberry).

Si tu veux modifier ce genre de comportement, je pense que la seule solution est justement d'utiliser explicitement le reverse proxy pour rediriger l'appel du port 443 vers ton Raspberry...

Lien vers le commentaire
Partager sur d’autres sites

Hello @Kramlech& @oracle7,

Excusez-moi pour ma réponse un peu tardive.

Merci beaucoup pour votre aide 🙂

Je me suis donc intéressé au proxy inversé et j'ai configuré mon ndd:443 vers l'ip:80 de mon raspberry.

Cela fonctionne très bien sur mon ordinateur, mais pas depuis mon mobile (connecté à la même box), j'ai un message "XXXX.synology.me vous a redirigé à de trop nombreuses reprises" 😄 et cela même après avoir supprimé les cookies.

Mathieu

Lien vers le commentaire
Partager sur d’autres sites

@OUARZA

Bonjour,

  1. Si tu actives HSTS tu condamnes toutes tes connexions à passer par uniquement HTTPS depuis un navigateur. Décoches cette case. De toutes façons, si tu as suivi le TUTO reverse proxy, tu as déjà mis en place  avec Web Station un fichier .htaccess qui fait ce travail de conversion http en https.
    Maintenant, pour supprimer l'impact de cette activation "hasardeuse", il te faut aller dans ton navigateur web et supprimer l'HSTS : dans FireFox (FF) par exemple, tu vas dans paramètres Vie privée et sécurité, tout en bas tu coches :  "Ne pas activer le mode HTTPS uniquement".
    ensuite tu vide le cache de FF, tu fermes FF et tu réouvres FF.
     
  2. Essaies de te connecter en ajouant le port 443 à ton URL soit "rasp.XXXXX.synology.me:443"

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@OUARZA

Bonjour,

Si tu n'as pas installé Web Station, alors je crains que tu n'ai fait qu'une lecture en diagonale et pas à l'horizontale du TUTO Reverse proxy et que de fait, tu ais raté des trucs.

Je t'invite donc à reprendre ce TUTO (à la lettre) et tu verras que cela fonctionnera tout de suite bien mieux. Maintenant c'est toi qui vois ...

Pour le HSTS, ton TUTO fait la même chose que ce que je t'ai expliqué pour FF. Mais peut-être que tu n'utilises que Chrome, alors  ... Sinon il y avait cela aussi (en bas de page).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7,

Mon but n'est pas de t'agacer.
Je viens de suivre le tuto.

Le problème reste entier. Je tiens à repréciser que je n'ai le problème que sur mon mobile et en local.

En externe aucun problème avec la même URL, de même, aucun problème si le NAS est coupé.

image.png.bc76e538b1244dd0b286e63d833f0943.png

 

J'ai installé sur mon mobile, Firefox, voici le message.

image.png.38cd59d2fa0cbebd8816b4c0249d96ed.png

 

En 4G, aucun problème.

Mathieu

Lien vers le commentaire
Partager sur d’autres sites

@OUARZA

Bonjour,

Rassures-toi tu ne m'agace pas. On va juste essayer de résoudre ton problème ...😀

Dans un premier temps, essaies de vider le cache de ton mobile est de supprimer les cookies liés à ton url de connexion (xxxx.synology.me). Idem pour le PC/Mac connecté sur le réseau local.

Par ailleurs, dans ta box rediriges (NAT) les ports 80 et 443 et UNIQUEMENT ceux-là (exit 5001 ce n'est pas utile), vers respectivement les mêmes ports sur ton NAS. Éventuellement reboot la Box ensuite.

Puis dans le pare-feu du NAS, ouvres/autorises les ports 80, 443, 5000 et 5001.

Reconnectes toi avec ton URL en local et ensuite depuis l'extérieur mais en ajoutant cette fois le port 443 à l'URL.

Pour ton RPI, tu devrais avoir une redirection dans le reverse proxy tel que : https://rpi.synology.me --> https://@IPlocaleRPI: 443 (puisque j'ai cru comprendre que tu voulais l'attaquer en Https, cela dit comme ton RPI est sur ton réseau local une redirection vers http://@IPlocaleRPI:80 est suffisante vu que la sécurité est assurée en amont via le port 443 et le reverse.

Pour ton NAS tu fais une redirection https://nas.synology.me:443 --> http://@IPlocaleNAS:5000

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7,

Je veux bien toucher au navigateur de mon ordinateur, mais sur celui-ci je n'ai pas de problème.

Ordinateur local : OK
Ordinateur externe : OK
Smartphone local : KO
Smartphone externe : OK

Conf de la box :

image.thumb.png.6abd82828611b84386a66a5993276dac.png

 

Côté Pare-feu du Synology (j'ai caché le port https):

image.png.7e8fe3186ebeb9f7e2d30c49432369d5.png

Proxy inversé :

image.thumb.png.6d1381f4d33cde612682f95d02ca4d4a.png

 

J'attaque mon NAS sur un autre port. Je ne l'ai pas mis en proxy inversé.

Mathieu
 

Lien vers le commentaire
Partager sur d’autres sites

@OUARZA

Bonjour,

Mais tu ne m'avais pas tout dit ! 🤪 Je vois que tu as une Livebox. Saches qu'actuellement le firmware 3.103.16 qui a été livré par mise à jour automatique fin Nov/2020 est buggé, il bloque le NAT des ports 80 et 443 ainsi que le loopback. Du coup cela pourrait expliquer tes déboires.

Orange soit disant, promet une correction sous peu mais personnellement je n'y crois pas, il y a déjà eu le même problème avec la LB5 et cà duré 4 mois avant d'aoir une correction.

Le seul moyen de s'affranchir du loopback de la LB est d'installer une zone DNS locale avec le package DNS Server sur ton NAS. Regardes le forum il y a plusieurs posts qui en parlent et un TUTO pour ce faire.

Sinon, cela ne sert à rien de limiter les ports 80, 443, 5000 et 5001 dans le pare-feu du NAS aux IP venant uniquement de FRANCE car d'une part tu utilises un domaine en synology.me et leurs serveurs sont HORS de France, d'autre part tu t'interdis ainsi tout un tas de sites nécessaires au fonctionnement du NAS (ex Let'sEncrypt pour le renouvellement de ton certificat sur le port 80 notamment) ainsi que pour l'accès Internet à certains serveurs. Pour ces 4 ports il faut laisser sur "tous" pour les toutes les @IP. Par contres les autres ports, tu peux limiter à ta guise selon tes besoins.

De même, tes transferts de ports 80 et 443 dans ta LB pour le RPI  me paraissent inutiles si tu passes par le reverse proxy par ailleurs à moins que le RPI réalise des fonctions spécifiques, dans ce cas .... Je ne comprend pas non plus la ligne dédié au NAS sur d'autres ports. Saches aussi, que changer les ports standards du NAS pour d'autre ports n'ajoute rien en sécurité vis à vis d'un scan d'un malveillant, tu ne fais que retarder son action d'une seconde grand maximum et en plus cela apporte de la complexité dans la gestion de tous les jours. Maintenant ce que j'en dit ... C'est toi qui vois ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@OUARZA

Bonjour,

+1 pour toi 🤪

Cela dit, regardes à tout hasard si l'@IPlocale de ton smartphone ne serait pas bloquée dans DSM : "Sécurite / Compte / Bouton "Autoriser/bloquer la liste" / onglet "List de blocages". On ne sait jamais ...

Maintenant, après cela je crains d'être à cours de pistes ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7,

J'accède sans problème à la page DSM de mon NAS depuis le navigateur de mon smartphone. Mais j'ai quand même vidé les IP bloquées. Malheureusement, même message.

J'ai l'impression que la navigateur bloque parce ça fait des allers/retours.

J'ai bien noté tous tes conseils que je vais mettre en pratique.

Mathieu

Lien vers le commentaire
Partager sur d’autres sites

@oracle7,

Le certificat...

Il est vrai que j'ai des doutes sur lui depuis le début, mais comment en être sûr.

Dans le smartphone, je sais pas trop où on peut trouver cela en dehors du cache du navigateur.

J'ai renouvelé le certificat via mon RPI.

Bon, j'arrête là pour aujourd'hui.

Mathieu

Lien vers le commentaire
Partager sur d’autres sites

Si tu as un smartphone Android, tu peux installer l'application Termux, c'est un terminal Linux gratuit et très pratique.
Une fois lancé, tu tapes nslookup, il va te dire que la commande n'existe pas et te dire quel paquet installer, tu fais ce qu'il te dit.
Ceci fait, tu tapes :

nslookup jeedom.xxx.synology.me 192.168.1.1

192.168.1.1 étant un exemple, c'est l'IP locale de ta box.

Tu postes le résultat.

Puis la même commande sans ajouter l'IP locale de la box, ça va passer par les DNS de Google, donc par l'extérieur, tu dois tomber sur ton IP publique.

On va commencer par ça.

Sur ton PC, tu peux faire la même chose, normalement nslookup est installé par défaut.
Ca permettra peut-être de constater les différences de comportement.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.