This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Le reverse proxy ne fonctionne plus


Messages recommandés

Bonjour,

 

J'ai plusieurs applications fonctionnant sous docker avec mon NAS DS1019+ / DSM 6.2.3-25426 Update 3.

Ces applications sont accessibles sur mon réseau local en 192.168.1.2 (IP fixe de mon NAS) avec différents ports pour chaque app.

J'ai des règles NAT sur ma livebox redirigeant les requêtes externes vers mon NAS (80, 443 et autres).

Le pare-feu de ma livebox est configuré sur "faible" permettant à toutes requêtes extérieurs de passer si une règle NAT est défine.

J'ai un nom de domaine chez OVH avec des règles DNS (DynHost) qui redirige mes sous-domaines vers l'IP de ma livebox.

J'utilise le service de reverse proxy du NAS pour rediriger les requêtes extérieurs vers les applications internes sur mon réseau local.

Tout cela fonctionnait très bien jusqu'à ce que mon IP fixe de livebox change hier.

Ma configuration DynHost n'est pas optimale puisqu'elle ne change l'IP que pour un sous-domaine de la liste de mes sous-domaine, j'ai donc update les IP à la main.

La configuration DNS est de nouveau bonne car quand je ping mes sous-domaines je tombe bien sur la nouvelle IP de ma livebox.

Cependant impossible d'atteindre les applications, j'ai un message d'erreur sur mon navigateur "Le délai d’attente est dépassé. Le serveur à l’adresse gitlab.mondomaine.me met trop de temps à répondre."

J'ai rebooté ma livebox et mon NAS, le problème persiste.

Comment diagnostiquer où se trouve le problème, s'il s'agit d'un problème de routage de ma box ou du reverse proxy du NAS ?

Ci-dessous quelques captures d'écrans des configuration cités ci-dessus.

nas-bug-3.png

 

nas-bug-2.png

nas-bug-1.png

Lien à poster
Partager sur d’autres sites

Pourquoi faire des NAT sur tous les ports des applications ? Le proxy inversé est justement là pour recevoir les requêtes sur le port 443 uniquement, c'est ensuite en interne dans ton réseau local qu'il redirige vers les applications concernées => Tu es déjà dans ton réseau local, le NAT n'a plus aucun intérêt.

Une impression d'écran du pare-feu du NAS serait également utile, même si tu aurais plutôt une connexion refusée en cas de port non ouvert qu'un délai d'attente dépassé.

Est-ce que tu fais tes tests depuis le réseau local ou en 4G (ou réseau wifi externe) ?

Lien à poster
Partager sur d’autres sites
il y a 56 minutes, romain_laneuville a dit :

Ma configuration DynHost n'est pas optimale puisqu'elle ne change l'IP que pour un sous-domaine de la liste de mes sous-domaine, j'ai donc update les IP à la main.

Effectivement, tu as autant de DynHost que de sous domaines ...

Le principe est d'avoir un seul DynHost qui fait pointer mondomaine.fr sur ton IP

Puis des enregistrement de type CNAME qui vont faire pointer tes xxx.mondomaine.fr vers mondomaine.fr. De cette manière le DynHost met à jour l'adresse IP de mondomaine.fr quand celle ci change, et tous les xxx.mondomaine.fr vont donc suivre automatiquement ...

Lien à poster
Partager sur d’autres sites
Posté(e) (modifié)

Ok problème résolu, j'ai ajouté mon NAS dans une DMZ dans la configuration de ma livebox et ça y'est les redirections refonctionnent. Je ne suis pas sûr que ça soit la solution adéquat puisqu'avant ça marchait sans donc bon... Pourtant j'avais checké avant que mes ports soient ouverts avec https://ismyportopen.com/ et ils l'étaient bien.

@.Shad. Pour les règles NAT sur les autres ports que 80 et 443 je crois que j'avais eu besoin de ça pour faire fonctionner certaines fonctionnalités des applis mais je vérifierai car sur le principe tu as raison tout le trafic doit être routé par un de ces 2 ports. Je vais supprimer les autres règles et je verrai bien.

@KramlechMerci pour l'astuce du DynHost je vais mettre des CNAME pour les sous-domaines. Comme j'avais vu qu'on pouvait mettre des sous-domaines dans le paramétrage OVH j'ai cru qu'il fallait les déclarer ici mais on ne peut configurer qu'un DynHost par provider dans le NAS que pour une seul domaine (ou sous-domaine ). Du coup j'ai fait un record A sur un sous domaine dynhost.mondomaine.me et je fais pointer les autres sous-domaines en CNAME dessus. On verra si le dynhost peut bien mettre à jour cet enregistrement A.

Modifié par romain_laneuville
précision des réponses après tests
Lien à poster
Partager sur d’autres sites
Il y a 9 heures, romain_laneuville a dit :

Du coup j'ai fait un record A sur un sous domaine dynhost.mondomaine.me

Si tu fais un enregistrement A, c'est que tu mets une adresse IP. Donc le DynDNS ne fonctionnera pas. C'est le DynDNS qui sert d'enregistrement A. Tu n'as pas à déclarer cet enregistrement explicitement. Uniquement des enregistrements CNAME...

 

Il y a 9 heures, romain_laneuville a dit :

j'ai ajouté mon NAS dans une DMZ dans la configuration de ma livebox

C'est toi qui vois, mais ce n'est pas vraiment conseillé !!! Certains diraient que ton NAS est "open bar" pour les attaques ....

Modifié par Kramlech
Lien à poster
Partager sur d’autres sites
Il y a 9 heures, romain_laneuville a dit :

je crois que j'avais eu besoin de ça pour faire fonctionner certaines fonctionnalités des applis

Sur les applications Android et iOS de Syno, il faut ajouter le port 443 du proxy inversé en fin du nom d'hôte sinon l'application essaie de se connecter au port du backend, donc 5000, 8000, etc...

Donc par exemple : files.mondomaine.me:443

Lien à poster
Partager sur d’autres sites

Ok j'ai bien compris le fonctionnement du DynHost maintenant c'est très clair.

Là je n'ai pas trop le temps de gérer la conf réseau avec la box pour faire ça proprement mais je pense que ce weekend je vais voir si je peux tout passer en ipv6 avec une adresse pour chaque services sans redirection de port et basta.

Pas sûr que docker gère ça par contre, je vais me renseigner.

Lien à poster
Partager sur d’autres sites
il y a 21 minutes, romain_laneuville a dit :

je vais voir si je peux tout passer en ipv6 avec une adresse pour chaque services sans redirection de port et basta.

Pas sûr que docker gère ça par contre, je vais me renseigner.

Sur une installation classique de Docker (hors DSM) il est facile d'activer l'IPv6.
Sur le NAS, je ne suis pas sûr que ce soit faisable.
Pour moi ce n'est pas gênant que le conteneur ne soit pas directement accessible via son IPv6, je l'ai déjà fait ça demande pas mal de chipotage pour pas grand chose.

Tu exposes les ports des conteneurs dont tu as besoin sur ton NAS, et tu contactes le NAS avec son IPv6, beaucoup plus facile pour un résultat équivalent. IPv6 native sur un conteneur c'est intéressant s'il est en réseau macvlan par exemple.

Modifié par .Shad.
Lien à poster
Partager sur d’autres sites
Le 25/03/2021 à 01:14, romain_laneuville a dit :

Ok problème résolu, j'ai ajouté mon NAS dans une DMZ dans la configuration de ma livebox et ça y'est les redirections refonctionnent. Je ne suis pas sûr que ça soit la solution adéquat puisqu'avant ça marchait sans donc bon...

C'est clairement pas du tout la bonne solution !
Comme @Kramlech l'a dit, il n'y a plus aucun filtre sur la livebox en direction du NAS. À moins que ce soit un impératif, et d'avoir un parefeu super bien configuré et donc on fait 100% confiance il vaut mieux ne pas faire ça ! Tu vas droit sur plein d'attaques...

Est-ce que tu as une livebox5 ? Si oui, une MAJ cette semaine semble avoir péter à nouveau le loopback...

Orange Fibre News : Livebox 5, Débit 2gbts / 600 [Topic R+] - Page : 1939 - FAI - Réseaux grand public / SoHo - FORUM HardWare.fr

Le Loopback sur les Livebox 5 (lafibre.info)

 

Lien à poster
Partager sur d’autres sites
  • 2 months later...
Posté(e) (modifié)

Bonjour, j'ai eu le même problème que romain. j'ai positionné mon NAS sur le DMZ. il fait office de reverse proxy pour d'autres applications. je m'en sers car Synology le propose et ça semble pas mal à premier vue (cf 2eme capture de Romain).

Le NAS est tout de même paramétré pour un minimum de sécurité (ddos, failtoban) mais vos commentaires me mettent un doute. comment peut on faire autrement? (je ne suis évidement pas un spécialise du réseau non plus)

Cordialement

Modifié par beguesse
Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.