Aller au contenu

Redirection automatique vers https


Messages recommandés

@pascalg57

Bonjour,

il y a une heure, pascalg57 a dit :

Je ne comprends pas la nuance ddns.ndd.tld ou ndd.tld .

C'est juste que certains ont un ddns de la forme ddns.ndd.tld et d'autre comme toi en ont un du type ndd.tld.

Du coup selon la forme de ce ddns, il arrive souvent dans le reverse proxy que certains "batissent" mal leurs domaines spécifiques aux applications/machines en faisant par ex nas.ndd.tld ou fichier.ndd.tld ou photos.ndd.tld alors qu'ils ont un ddns de la forme dddns.ndd.tld et qu'en conséquence ils auraient dû avoir des domaines du type nas.ddns.ndd.tld ou fichier.ddns.ndd.tld ou photos.ddns.ndd.tld. voilà c'est tout.

SInon dans ton cas, hors mis le reverse proxy à dédouaner, tout est correct en "amont" comme te l'as parfaitement expliqué @.Shad..

Donc pour le reverse proxy Définir les redirections à l'image de celle-ci : https://aliasApplication.ndd.tld:443 --> localhost:portStandardHttpApplication (ne pas oublier de cocher HTTP/2). Soit par exemple dans ton cas : https://nas.ndd.tld + HTTP/2 coché  --> http://localhost:5000  pour le NAS et par exemple https://file.ndd.tld + HTTP/2 coché  --> http://localhost:7000 pour FileStation (attention, c'est trompeur dans le reverse proxy certains champs sont apparemment déjà renseignés, mais il n'en est rien, il faut quand même les renseigner sinon rien n'est pris en compte !).

EDIT PS : dans un premier temps ne cherches pas à modifier les ports standards des applications. Tu le feras seulement quand tout fonctionnera.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@oracle7

il y a 24 minutes, oracle7 a dit :

@pascalg57

Bonjour,

C'est juste que certains ont un ddns de la forme ddns.ndd.tld et d'autre comme toi en ont un du type ndd.tld.

Du coup selon la forme de ce ddns, il arrive souvent dans le reverse proxy que certains "batissent" mal leurs domaines spécifiques aux applications/machines en faisant par ex nas.ndd.tld ou fichier.ndd.tld ou photos.ndd.tld alors qu'ils ont un ddns de la forme dddns.ndd.tld et qu'en conséquence ils auraient dû avoir des domaines du type nas.ddns.ndd.tld ou fichier.ddns.ndd.tld ou photos.ddns.ndd.tld. voilà c'est tout.

merci pour ça 😉

il y a 25 minutes, oracle7 a dit :

@pascalg57

Donc pour le reverse proxy Définir les redirections à l'image de celle-ci : https://aliasApplication.ndd.tld:443 --> localhost:portStandardHttpApplication (ne pas oublier de cocher HTTP/2). Soit par exemple dans ton cas : https://nas.ndd.tld + HTTP/2 coché  --> http://localhost:5000  pour le NAS et par exemple https://file.ndd.tld + HTTP/2 coché  --> http://localhost:7000 pour FileStation

J'ai rétabli les ports par défaut. Mais là je bute même si je crois comprendre. Pour mon sous-domaine fichiers.mon.ndd voici ce qui est maintenant paramétré : est-ce correct ?  

a1.jpg

Lien vers le commentaire
Partager sur d’autres sites

@pascalg57

Bonjour,

Tu as parfaitement compris. Ton paramétrage est bon.

Maintenant si tu veux bien on va être "carré" dans les appellations afin d'éviter toutes confusions ultérieures.

Ne le prends pas mal mais je trouve que ton appellation "mon.ndd" pour nommer un domaine n'est pas claire et elle ne correspond pas à la "norme".

Pour faire court, il est plutôt d'usage de nommer un domaine tel que : "NomDeDomaine.TopLevelDomaine" ou de façon raccourcie : "ndd.tld" soit par exemple en pratique "google.fr" ou "ovh.com". Ce qui donne pour l'application "fichier" du NAS par exemple "fichier.ndd.tld" ou le NAS lui même "nas.ndd.tld" (mais ce ne sont que des exemples).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Ok je pense voir le problème, tu as condamné une porte, tu as mis une porte blindée à côté, mais tu continues de toquer à la porte condamnée.

Disons au hasard que ton nom de domaine acheté c'est pascalg57.fr, histoire que ce soit plus clair que mon.ndd.

Quelque part dans ta zone DNS tu as un visiblement un dynhost nas.pascalg57.fr qui pointe vers ton IP dynamique. @oracle7 a tort quand il dit que si ton ddns c'est nas.pascalg57.fr, tes alias doivent être de la forme coucou.nas.pascalg57.fr, ce que tu utilises pour le dynhost est un sous-domaine comme les autres, c'est juste que les sous-domaines que tu utiliseras pour ton proxy inversé feront l'objet d'un CNAME dans ta zone DNS vers le sous-domaine utilisé pour ton dynhost.

Donc tes entrées de proxy inversées peuvent être de la forme fichiers.pascalg57.fr, dsm.pascalg57.fr, etc...
Et tu auras dans ta zone DNS :

fichiers.pascalg57.fr               CNAME               nas.pascalg57.fr
dsm.pascalg57.fr                    CNAME               nas.pascalg57.fr

En l'état, tu as visiblement demandé un certificat pour nas.pascalg57.fr (le dynhost) et fichiers.nas.pascalg57.fr, très bien on va faire avec.
Dans le portail des applications tu as attribué le port personnalisé 45002 pour File Station. Et tu as créé une entrée de proxy inversé qui dit que lorsque tu fais une requête sur fichiers.nas.pascalg57.fr sur le port 443 (ce qui se traduit dans ton navigateur par https://fichiers.nas.pascalg57.fr) sur le proxy inversé (et c'est le cas depuis l'extérieur, vu que ton port 443 sur la box est redirigé vers le NAS), il redirige ça vers localhost (le NAS) sur le port 45002 (autrement dit http://localhost:45002).

Donc déjà, je t'invite à faire ce test via la 4G, par un navigateur tu tapes : https://fichiers.nas.pascalg57.fr (en adaptant le nom de domaine évidemment).
Je pense que ça marchera sous réserve que le port 443 est bien translaté.
De même si tu tapes http://fichiers.nas.pascalg57.fr, la redirection HTTP -> HTTPS devrait opérer.

Maintenant en local, que tu aies du loopback ou pas sur ta box, dans tous les cas ça doit marcher, sauf que sans loopback tu passeras par internet pour aller voir ton NAS, avec du loopback tu causeras avec en restant dans ton réseau local.

Dans ton cas, si tu tapes http://nas.pascalg57.fr:45002, c'est normal que ça ne fonctionne pas. Tu n'as pas de zone DNS locale, donc ta box demande à Internet à quoi est sensé mener nas.pascalg57.fr, ça lui renvoie ton IP publique. Et ta box refuse toute demande sur ce port. Donc : Baskets ? tu passes pas.

Si tu tapes http://IP_du_NAS:45002 tu n'auras aucun problème.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Bonjour,

Désolé mais où vas-tu chercher cela ? :

il y a 31 minutes, .Shad. a dit :

Quelque part dans ta zone DNS tu as un visiblement un dynhost nas.pascalg57.fr qui pointe vers ton IP dynamique

@pascalg57 ne parle à aucun moment (dans tout le post) de sa zone DNS et tu dis toi même plus loin qu'il na pas de zone DNS locale aussi je ne comprends pas ...

En plus, en réponse à ma question sur son @IP dynamique il dit en substance :

Citation

Je ne comprends pas la nuance ddns.ndd.tld ou ndd.tld . J'ai envie de répondre ndd.tld car c'est la même renseignée chez OVH et dans DDNS

Donc j'en déduit que son ddns est bien du type : ndd.tld et pas nas.ndd.tld comme tu l'avances dans ta réponse précédente. Donc désolé je n'ai pas tort et je ne peux te laisser dire cela !

Maintenant, qu'il ait créé un certificat sur le domaine nas.ndd.tld est autre chose (une erreur à mon humble avis car il aurait du le faire sur ndd.tld mais bon ... c'est fait et il faut alors maintenant faire avec comme tu le dis justement).

Voilà au delà de toute polémique, je tenais simplement à cette précision.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@oracle7

il y a 56 minutes, oracle7 a dit :

@pascalg57

Maintenant si tu veux bien on va être "carré" dans les appellations afin d'éviter toutes confusions ultérieures.

Ne le prends pas mal mais je trouve que ton appellation "mon.ndd" pour nommer un domaine n'est pas claire et elle ne correspond pas à la "norme".

Si je le prends mal je suis le roi des couillons ! cela me renvoie à mes insuffisances et surtout à ma formation autodidacte qui prouve ses limites à repousser.

il y a 45 minutes, .Shad. a dit :

Donc déjà, je t'invite à faire ce test via la 4G, par un navigateur tu tapes : https://fichiers.nas.pascalg57.fr (en adaptant le nom de domaine évidemment).

Je pense que ça marchera sous réserve que le port 443 est bien translaté.
De même si tu tapes http://fichiers.nas.pascalg57.fr, la redirection HTTP -> HTTPS devrait opérer.

 

@.Shad. JE CRAQUE ! les deux adresses me renvoient "page introuvable" alors que l'accès via DS file est opérationnel.

Pour info j'ai annulé la redéfinition de port.

Un des soucis qui rend plus difficile la compréhension réside dans le fait que j'ai j'accède à mon NAS via un sous domaine car je gère des sites par ailleurs sur ce même nom de domaine. En clair SI mon nom de domaine est ndd.tld Alors l'accès à NAS se fait via nas.ndd.tld. Au même titre que j'ai donc blog1.ndd.tld, portfolio.ndd.tld, actu.ndd.tld, etc.

C'est donc nas.ndd.tld qui devient ndd.tld pour tout paramétrage ici et dans nos échanges. J'espère me faire comprendre.

Voici comment est défini DNS : b1.jpg.99a414d40aa67b7266640cef3c5c8c08.jpg

ici : n.....t représente ndd.tld pour nous ici (en fait le sous-domaine que j'ai déclaré pour le NAS soit nas.ndd.tld)

 

@.Shad.

En fait c'est fichiers.ndd.tld qui me renvoie "page introuvable MAIS ndd.tld en http ou https sont tous deux sur DSM avec connexion sécurisée donc la redirection fonctionne dans ce cas 😉

IL faudrait que je rajoute un CNAME fichiers.ndd.tld qui pointe vers ns.ndd.tld ... c'est cela ?

 

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, pascalg57 a dit :

JE CRAQUE ! les deux adresses me renvoient "page introuvable" alors que l'accès via DS file est opérationnel.

Tu es bien en 4G ? donc pas en local, connecté par exemple au Wifi de ton smartphone en mode point d'accès sans fil ?

il y a 23 minutes, pascalg57 a dit :

Un des soucis qui rend plus difficile la compréhension réside dans le fait que j'ai j'accède à mon NAS via un sous domaine car je gère des sites par ailleurs sur ce même nom de domaine. En clair SI mon nom de domaine est ndd.tld Alors l'accès à NAS se fait via nas.ndd.tld. Au même titre que j'ai donc blog1.ndd.tld, portfolio.ndd.tld, actu.ndd.tld, etc.

Non ça n'a rien de difficile, ça revient à ce que j'avais supposé au niveau du dynhost.
Bon par contre tu ne dis que maintenant que tu as une zone DNS locale, ou j'ai loupé quelque chose dans tes messages précédents...
D'ailleurs il te manque un enregistrement A dans ta zone DNS :

nas.ndd.tld             A             IP_locale_du_NAS

Et comment tu veux résoudre localement tes accès au proxy inversé si par exemple tu n'as pas d'entrée fichiers.nas.ndd.tld par exemple qui pointe en CNAME vers nas.ndd.tld ?

Mais pour moi ton serveur DNS n'est même pas pris en compte, la preuve :

Il y a 2 heures, pascalg57 a dit :

Je ne sais pas où trouver  cat /etc/resolv.conf  J'ai trouvé un resolv.conf dans répertoire "etc" voici son contenu :

nameserver             192.168.1.1

nameserver             fe80::d6f8:29ff:fe3f:2960

domain   home

Quand tu demandes au NAS quel serveur DNS il utilise, il te dit qu'il utilise ta box.
Tu dois dire au serveur DHCP de celle-ci d'envoyer l'IP du NAS comme serveur DNS primaire à ses clients DHCP.

Il y a un gros ménage à faire avant de vouloir faire fonctionner correctement ton proxy inversé, notamment au niveau de ta zone DNS et la diffusion de celle-ci par le serveur DHCP de ton réseau local.

Lien vers le commentaire
Partager sur d’autres sites

il y a 32 minutes, oracle7 a dit :

@pascalg57 ne parle à aucun moment (dans tout le post) de sa zone DNS et tu dis toi même plus loin qu'il na pas de zone DNS locale aussi je ne comprends pas ...

Je parle de sa zone DNS publique, celle chez son prestataire où se trouve son dynhost.

il y a 35 minutes, oracle7 a dit :

Donc j'en déduit que son ddns est bien du type : ndd.tld et pas nas.ndd.tld comme tu l'avances dans ta réponse précédente. Donc désolé je n'ai pas tort et je ne peux te laisser dire cela !

Pourtant sur cette impression d'écran :

Inkeda3_LI.jpg

Ca ressemble plus à nas.ndd.tld que ndd.tld 😉 

Et moi je te parle du principe : si coucou.ndd.tld (hypothétique) est son dynhost, il n'est pas obligé d'utiliser coucou.ndd.tld dans tous ses autres sous-domaines (toto.coucou.ndd.tld, toto2.coucou.ndd.tld, ...) si le certificat a été émis pour ndd.tld. Donc je le répète :

Il y a 2 heures, oracle7 a dit :

Du coup selon la forme de ce ddns, il arrive souvent dans le reverse proxy que certains "batissent" mal leurs domaines spécifiques aux applications/machines en faisant par ex nas.ndd.tld ou fichier.ndd.tld ou photos.ndd.tld alors qu'ils ont un ddns de la forme dddns.ndd.tld et qu'en conséquence ils auraient dû avoir des domaines du type nas.ddns.ndd.tld ou fichier.ddns.ndd.tld ou photos.ddns.ndd.tld. voilà c'est tout.

est faux.

Il n'y a pas de polémique, c'est factuel.

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Je me rend bien compte que je suis lourd mais je n'ai pas le choix, je ne connais personne qui est capable de paramétrer convenablement. Mon fournisseur matériel me recommande Quickconnect ...c'est pour dire... 😞

il y a 30 minutes, .Shad. a dit :

Tu es bien en 4G ? donc pas en local, connecté par exemple au Wifi de ton smartphone en mode point d'accès sans fil ?

oui je suis en 4G

il y a 30 minutes, .Shad. a dit :

Bon par contre tu ne dis que maintenant que tu as une zone DNS locale, ou j'ai loupé quelque chose dans tes messages précédents...

D'ailleurs il te manque un enregistrement A dans ta zone DNS :






nas.ndd.tld             A             IP_locale_du_NAS

Et comment tu veux résoudre localement tes accès au proxy inversé si par exemple tu n'as pas d'entrée fichiers.nas.ndd.tld par exemple qui pointe en CNAME vers nas.ndd.tld ?

 

dans ton expression nas.ndd.tld d'où vient nas ?

Cela veut-il dire que j'ai envoyé vers ma box au lieu de vers  IP_locale_du_NAS lors de la définition de A ? (voir photo post précédent)

il y a 30 minutes, .Shad. a dit :

Mais pour moi ton serveur DNS n'est même pas pris en compte, la preuve :

Quand tu demandes au NAS quel serveur DNS il utilise, il te dit qu'il utilise ta box.
Tu dois dire au serveur DHCP de celle-ci d'envoyer l'IP du NAS comme serveur DNS primaire à ses clients DHCP.

Il y a un gros ménage à faire avant de vouloir faire fonctionner correctement ton proxy inversé, notamment au niveau de ta zone DNS et la diffusion de celle-ci par le serveur DHCP de ton réseau local.

ceci vient peut-être de mon erreur de déclaration de A ci-dessus ?

Chez OVH mon dynhost est bien nas.ndd.tld. Lors de la définition de zone DNS, j'ai bien *.nas.ndd.tld qui cible nas.ndd.tld

 

Si je comprends ta dernière remarque @.Shad. résoudre mon souci ne va pas être possible ici. Et avec @oracle7 vous me conseillez quoi sachant que le NAS est opérationnel en local et à distance dès lors que je spécifie https en tapant l'adresse ?

Encore une fois, grand merci, je me rend bien compte du temps que vous passez ici pour moi...

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, pascalg57 a dit :

dans ton expression nas.ndd.tld d'où vient nas ?

Ben je sais pas, dans cette impression d'écran :

b1.jpg

La première ligne dans ta zone c'est bien : nas.ndd.tld        NS       ns.nas.ndd.tld
non ?

Si je suis ta logique de faire de nas.ndd.tld ta racine.

il y a 14 minutes, pascalg57 a dit :

Cela veut-il dire que j'ai envoyé vers ma box au lieu de vers  IP_locale_du_NAS lors de la définition de A ? (voir photo post précédent)

Ca c'est la configuration du DDNS, ça permet à l'internet de savoir vers quelle IP dynamique pointe nas.ndd.tld
Depuis internet, en IPv4, il y a dans l'ultra-majorité des cas une box en tête de chaque réseau domestique. Mais en local, tu fais directement pointer sur le NAS.

il y a 17 minutes, pascalg57 a dit :

ceci vient peut-être de mon erreur de déclaration de A ci-dessus ?

Il n'y a aucun lien entre l'enregistrement A et le fait que ton serveur DHCP ne distribue pas l'IP du NAS comme DNS aux périphériques de ton réseau local.
Un serveur DHCP distribue une IP, pas un nom de domaine.

il y a 18 minutes, pascalg57 a dit :

Si je comprends ta dernière remarque @.Shad. résoudre mon souci ne va pas être possible ici. Et avec @oracle7 vous me conseillez quoi sachant que le NAS est opérationnel en local et à distance dès lors que je spécifie https en tapant l'adresse ?

Pour moi tu dois reprendre le tutoriel sur le DNS, voir éventuellement te renseigner via Google sur la forme d'une zone minimale, car le tutoriel a certains défauts, notamment pour l'intégration d'un proxy inversé.

Et bah si c'est fonctionnel, fais-toi des favoris avec https en entête. 😄 

Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Les choses s'éclaircissent peu à peu mais c'est pas encore grand beau temps pour sûr !!! 😄

J'ose juste espérer tant que cela n'est pas bloquant car ce NAS est devenu indispensable au quotidien !

Si le tuto présente qq flous, c'est sûr que ce n'est pas top pour qqun comme moi même si cela reste formateur de chercher.

Quant à me satisfaire d'un favori temporairement peut-être... mais quel intérêt personnel et surtout pour avancer en autonomie et savoir-faire ?!

Je me permettrai de te relancer sur ce sujet une fois avoir fait le ménage chez moi, selon tes dispo d'alors bien sûr 🙂

Amicalement
PascalG

Lien vers le commentaire
Partager sur d’autres sites

@pascalg57

Bonjour,

Si tu le veux bien on va être pragmatique et je te propose de suivre la procédure suivante (c'est toi qui voit) car à force d'empiler toute sortes de choses cela finalemennt devient inextricable donc on va posément reposer les choses et faire cela dans l'ordre :

Dans cette procédure sous l'appellation "ddns.ndd.tld" il te faudra comprendre (et donc la remplacer par) "nas.ndd.tld" puisque si j'ai bien compris c'est ce que tu as définis.

Certaines actions ont déjà été vues dans les échanges précédents, mais pour "enfoncer le clou" je t'invites à ne pas les "sauter" et à les exécuter tout de même afin de ne rien rater (c'est juste pour être "carré").

Citation

Box :

  • DHCP actif : Attribuer un bail statique au NAS.

  • NAT/PAT : Rediriger les ports 80, 443 et 5000 vers les respectivement les mêmes ports sur le NAS.

  • Si une DMZ est définie, supprimer tout dans la DMZ.

  • Pour la suite, on suppose de @IP de la Box est 192.168.1.1

  • Rebooter la Box.

Sur le PC :

  • Dans une fenêtre de CMD en mode admin taper "ipconfig /flushdns" pour vider le cache.

  • Dans l'adaptateur réseau (propriétés protocole IPv4) : en DNS préféré --> forcer le DNS Serveur sur l'@IP du NAS, dans DNS auxiliaire --> mettre 80.67.169.12 ou 1.1.1.1, créer un 3ème DNS avec 192.168.1.1 (Box) pour le cas où aucun des deux serveurs DNS précédents ne répondraient pas.
    NOTA : cette configuration est à faire sur tous tes périphériques de ton réseau local (càd forcer le serveur DNS - le 1er - à utiliser sur l'@IP du NAS).

NAS partie DSM :

  • Désactiver le serveur DHCP du NAS.

  • Désactiver provisoirement le pare-feu du NAS.

  • Entrer dans le champ "nom d'hôte" dans DSM "Accès externe / Avancé" ton domaine "ddns.ndd.tld".

  • Depuis l'extérieur, dans un navigateur Web avec cache vidé : taper l'URL http://<@IP Externe>:5000 --> tu dois atteindre le NAS.

  • Accès externe :

    • On est bien d'accord que ton DDNS est défini sur ce domaine : "ddns.ndd.tld" et qu'il pointe bien vers ton @IP Externe (i.e. @IP Box). Je pars sur cette hypothèse pour la suite.

    • On vérifie que ton DDNS pointe bien chez toi, en passant la commande "ping ddns.ndd.tld" depuis ton PC . La réponse doit être ton @IP Externe.

    • On vérifie aussi que nslookup ddns.ndd.tld 8.8.8.8, ça doit aussi te faire tomber sur ton @IP Externe.

    • Depuis l'extérieur, dans un navigateur Web : taper l'URL http://ddns.ndd.tld:5000 --> tu dois atteindre le NAS.

  • Si tout est OK alors tu peux réactiver le pare-feu du NAS et au passage ouvrir/autoriser les ports 80, 443, 5000 et 5001 dans le pare-feu du NAS. Pour les ports 5000 et 5001 je suppose qu'ils n'ont pas été modifiés dans Accès externe/Avancé et ton nom d'hôte est bien "ddns.ndd.tld".
    Tu peux aussi supprimer la redirection du port 5000 dans le NAT/PAT de la Box (ce n'est plus utile !).

  • Réseau/général :

    • Vérifier que la passerelle par défaut est bien l’@IP locale de la Box 192.168.1.1 (LAN1)

    • Cocher configurer manuellement le serveur DNS préféré et saisir l'@IP du NAS, pour le serveur DNS de remplacement tu peux mettre 80.67.169.12 ou 1.1.1.1. Dans "Paramètres avancés" tu coches les 3 cases.

  • Réseau/Interface réseau : pour LAN1 configurer avec DHCP automatique. Mais si tu mets en configuration manuelle, alors : @IPlocaleNAS, passerelle=@IPlocaleBox, Serveur DNS= @IPlocaleNAS, cocher Définir comme valeur par défaut.

  • Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy.

  • Portails des applications/Applications : Pour les applications, je te conseille de renseigner les ports HTTP standards.

  • Portails des applications/Reverse proxy : Définir les redirections à l'image de celle-ci : https://aliasApplication.ddns.ndd.tld:443 --> localhost:portStandardHttpApplication (ne pas oublier de cocher HTTP/2). Soit par exemple dans ton cas : https://nas.ddns.ndd.tld + HTTP/2 coché  --> htttp://localhost:5000  pour le NAS et par exemple https://file.ddns.ndd.tld + HTTP/2 coché  --> htttp://localhost:7000 pour FileStation (attention, c'est trompeur dans le reverse proxy certains champs sont apparemment déjà renseignés, mais il n'en est rien, il faut quand même les renseigner sinon rien n'est pris en compte !).

Seulement si tu as installé le package DNS Serveur (zone locale uniquement) tu fais ce qui suit. Cela permet d'utiliser en local des URL avec ton nom de domaine plutôt que de saisir à chaque fois une @IP pour atteindre un périphérique, ce qui est plus facile à retenir et plus simple à l'usage.

NAS Partie DNS Serveur :

  • Se référer si besoin à ce TUTO : DNS Server pour la mise en place (Zone, Résolution, Vue même si cette dernière n'est pas utile pour juste une zone locale).

  • Définir les ressources telles que :

    • ns.ddns.ndd.tld A 86400 @IPduNAS

    • ddns.ndd.tld NS 86400 ns.ddns.ndd.tld

    • nas.ddns.ndd.tld A 86400 @IPduNAS ---> pour accéder directement au NAS (DSM)

    • *.ddns.ndd.tld CNAME 86400 nas.ddns.ndd.tld ---> pour accéder directement aux applications du NAS

  • Définir les Redirecteurs 1 et 2 sur 80.67.169.12 et 1.1.1.1

  • Pour la zone master et la vue associée limiter les IP sources tel que :
  • Ajouter éventuellement le sous-réseau 10.0.0.0/255.0.0.0 si tu comptes faire du VPN.

 

  • Enfin Zone DNS chez ton fournisseur de domaine : tu devrais avoir une ligne du type : *.ddns.ndd.tld CNAME 86400 ddns.ndd.tld.

·         Avec une @IP externe dynamique, tu ne dois pas avoir d'enregistrement de type ddns.ndd.tld 0 A @IPexterneBox chez ton fournisseur de domaine.

 

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Cette discussion, c'est l'histoire d'un problème d'accès, simple en apparence qui se transforme en l’Iliade et l’Odyssée 😍

Un conseil à @pascalg57 si je puis me permettre. Ne te lance pas tête baissée dans une aventure si tu ne comprends pas un minimum des tenants et aboutissants. Il y a plein de choses que je ne fais pas parce que je ne maîtrise pas assez leurs implications compte tenu de mes connaissances actuelles. Mais bon, il y a les timorés comme moi et les aventuriers comme toi. Il faut de tout pour faire un monde.

il y a 3 minutes, oracle7 a dit :

Si tu le veux bien on va être pragmatique et je te propose de suivre la procédure suivante

Mais c'est  un véritable tuto pas à pas, ça. Je vais faire un copier coller pour l'étudier par la suite.

Lien vers le commentaire
Partager sur d’autres sites

Oups, validé sans avoir écrit mon message...
Je coupe, et écrit mon message.

Message édité avec ce qui suit :

  @oracle7 Super ce que tu as proposé.
J'allais justement dire que ce serait une bonne idée de tout refaire depuis 0, donc on enlève tout ce qui a été fait, puis on reprend de 0 pour être sûr qu'il n'y a pas eu une couille dans le pâté à force de faire des essais à droits et à gauche.

@pascalg57 je pense que tu devrais suivre cette recommandation et suivre à la lettre le mini tuto de @oracle7, et surtout à la moindre hésitation, incompréhension, ou au moindre soucis de type "je trouve pas"/"ça marche pas", tu arrêtes et tu demandes.

 

Je voulais aussi revenir sur ça @.Shad. :

Il y a 3 heures, .Shad. a dit :

Maintenant en local, que tu aies du loopback ou pas sur ta box, dans tous les cas ça doit marcher, sauf que sans loopback tu passeras par internet pour aller voir ton NAS, avec du loopback tu causeras avec en restant dans ton réseau local.

D'après mes connaissances, qui je le conçois ne sont pas tout le temps parfaites, le loopback c'est plutôt ce qui permet depuis ton réseau local d'accéder via ton nom de domaine au NAS (ou autres trucs hébergés chez toi). Le loopback permettant comme tu le décrivais que ta box pointe sur elle-même pour le nom de domaine.
Sans loopback, ça ne fonctionne pas.
C'est ce qui est arrivé l'an dernier avec une MAJ foireuse des livebox 4 et 5 (et qui est potentiellement encore le cas pour certaines LB5)...
Le loopback avait été cassé, du coup, on ne pouvait plus accéder au NAS via son nom de domaine. C'est ce qui m'avait poussé, en plus d'autres raisons, à investir dans un routeur, le RT2600AC.

Après j'ai peut-être mal compris le principe du loopback...

Modifié par MilesTEG1
Lien vers le commentaire
Partager sur d’autres sites

 

il y a 56 minutes, CyberFr a dit :

Cette discussion, c'est l'histoire d'un problème d'accès, simple en apparence qui se transforme en l’Iliade et l’Odyssée

Je pense surtout que c'est un problème d'empilement de couches sans avoir contrôlé que les couches précédentes fonctionnent...

Pour moi la logique est la suivante (pour mettre en place un accès depuis l'extérieur) :

  1. Mise en place du DDNS. Ne pas aller plus loin tant que un ping sur le DDNS ne renvoie pas l'IP externe de la box
  2. Mise en place du CNAME (par exemple "toto.monsite.fr"). Ne pas aller plus loin tant que un ping sur le CNAME ne renvoie pas l'IP externe de la box
  3. Ne pas modifier les ports par défaut. Ne pas activer le pare-feu.
  4. Au niveau de la box, faire la redirection du port 5000 vers le port 5000 du NAS
  5. Vérifier que http://toto.monsite.fr:5000 (depuis l’extérieur) permet d'accéder au DSM. Ne pas aller plus loin tant que ça ne fonctionne pas
  6. Au niveau de la box, faire la redirection du port 5001 vers le port 5001 du NAS
  7. Vérifier que https://toto.monsite.fr:5001 (depuis l’extérieur) permet d'accéder au DSM en mode https. Ne pas aller plus loin tant que ça ne fonctionne pas
  8. Mettre en place le reverse proxy, et renvoyant toto.monsite.fr vers l'IP du NAS port 5000
  9. Au niveau de la box faire la redirection du port 80 vers le port 80
  10. Vérifier que http://toto.monsite.fr (depuis l’extérieur) permet d'accéder au DSM en mode. Ne pas aller plus loin tant que ça ne fonctionne pas
  11. Au niveau de la box faire la redirection du port 443 vers le port 443
  12. Vérifier que https://toto.monsite.fr (depuis l’extérieur) permet d'accéder au DSM en mode https. Ne pas aller plus loin tant que ça ne fonctionne pas
  13. Mettre en place la redirection automatique vers https (en ayant en tête que cette redirection ne se fait pas de la même manière selon que le serveur web et Apache ou Nginx)
  14. Vérifier que http://toto.monsite.fr (depuis l’extérieur) permet d'accéder au DSM en mode HTTPS. Ne pas aller plus loin tant que ça ne fonctionne pas
  15. Supprimer les redirection des ports 5000 et 50001
  16. Vérifier que http://toto.monsite.fr (depuis l’extérieur) permet toujours d'accéder au DSM en mode HTTPS. Ne pas aller plus loin tant que ça ne fonctionne pas
  17. Mettre en place le pare-feu
  18. Vérifier que ça marche ....

De cette manière, si quelque chose ne fonctionne pas, on sait d’où ça vient !!!! 😉

Tout cela est basé sur le principe : ne faire qu'une modification à la fois, et tester toute modification avant d'en faire une autre

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, Kramlech a dit :

Tout cela est basé sur le principe : ne faire qu'une modification à la fois, et tester toute modification avant d'en faire une autre

C'est le principe de la démarche/méthode scientifique 🙂

Ne faire varier qu'un seul paramètre à la fois pour observer un éventuel effet. Si plusieurs paramètres sont modifiés en même temps, on ne peut pas savoir lequel est responsable d'un éventuel effet, ou pire, s'ils ne s'annulent pas l'un l'autre...

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, MilesTEG1 a dit :

C'est le principe de la démarche/méthode scientifique 🙂

Ne faire varier qu'un seul paramètre à la fois pour observer un éventuel effet. Si plusieurs paramètres sont modifiés en même temps, on ne peut pas savoir lequel est responsable d'un éventuel effet, ou pire, s'ils ne s'annulent pas l'un l'autre...

Et oui, c'est ce qu'il m'as fallu expliquer aux générations d'informaticiens débutants (et même parfois confirmés) tout au long de ma carrière ...

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 Quelle perle ! bien sûr que je vais suivre ! merci pour le job ! cela va me prendre un peu de temps.

@CyberFr le problème n'est pas tant d'oser mais surtout d'avoir besoin d'un accès sécurisé facile car destiné à des utilisateurs lambda donc accès par simple nom de domaine pour tout.

@MilesTEG1 parfois on a l'impression de comprendre 😄  Quant à la démarche du pas à pas bien sûr : pas toujours facile à mettre en œuvre.

@Kramlech grand merci pour cette procédure, encore fallait-il bien définir l'ordre des éléments

Vous décrivez chacun parfaitement les difficultés qui s'opposent à la mise en œuvre de telles solutions techniques pour des néophytes, alors que ces solutions sont présentées comme "accessibles".

Sans assistance comme la vôtre, rien ne serait possible. Je découvre chaque jour mon inculture mais aussi tous les jours j'étends mes compétences, sans prétention.

Je vous en remercie sincèrement ainsi que salue votre patience mais plaide pour l'indulgence 😄 parfois on a pas le choix non plus !

Je vais avancer et je vous tiens au courant...bonne soirée

Amicaleemnt
PascalG

 

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1 Le loopback (ou hairpinning NAT) c'est lorsque une requête arrive sur l'interface interne d'un routeur (192.168.1.1 par exemple) et qu'elle revient par son interface WAN, donc IP publique. Dans ce cas le périphérique cible de la requête initiale verra comme IP source l'IP interne du périphérique émetteur (192.168.1.2 par exemple). Alors qu'en réalité la requête est partie vers un serveur DNS upstream, et qu'elle est revenue jusqu'à chez toi par le WAN.

Le loopback sans règle NAT ne fonctionne pas.

Si pas de loopback, et sous réserve que les règles NAT soient bien présentes, ça fonctionnera aussi. Mais la cible verra la requête arriver de ton IP publique. Et pas de périphérique local.

 

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad. j'ai peur d'être hors sujet et on peut en discuter ailleurs. Mais j'ai un commentaire sur le loopback:

J'affiche les journaux récents dans les wiglets du dsm et je vois l'adresse qui est employée quand je me connecte au DSM 192.168.1.2 adresse de mon PC. On pourrait penser que j'y arrive en loopback mais hier j'ai désactivé ma zone locale et j'ai vu une adresse IPV6 se connecter au DSM et c'était l'adresse temporaire de mon PC donc une adresse publique. Vu que ma zone locale était désactivée c'était forcément du loopback mais tu as l'air de dire que pas forcément ???

 

Lien vers le commentaire
Partager sur d’autres sites

Attention IPv6 c'est plus compliqué, la notion d'adresse privée/publique n'a pas lieu d'être, on parle d'IP de lien local ou d'IP routable.
Une adresse IPv6 routable (ou globale), càd qui n'est pas de la forme fe80::, fd00:: ou ::1, fonctionne aussi bien en privé qu'en publique. Les adresses ont une "portée", une IP globale est utilisable partout. Une adresse de lien local uniquement en privé. Ca ne veut pas dire qu'en privé il faut utiliser l'IP de lien local.

Car le routeur utilise le NDP (Neighbour Discovery Protocol), il connaît ses proches voisins et leur permet de discuter entre eux.

Je ne m'étendrai pas plus car même si j'ai beaucoup lu sur l'IPv6, c'est vaste et suffisamment différent conceptuellement de l'IPv4 telle qu'elle existe (limitée par son nombre d'adresses).

Mais pour résumer non, si tu vois l'IPv6 globale de ton NAS dans tes logs, ça ne veut pas dire que tu passes par l'extérieur.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

il y a 46 minutes, .Shad. a dit :

Une adresse IPv6 routable (ou globale), càd qui n'est pas de la forme fe80::, fd00:: ou ::1, fonctionne aussi bien en privé qu'en publique

même l'adresse IPV6 temporaire qui justement est utilisée sur internet pour éviter d'utiliser une adresse basée sur l'adresse mac?

Bon ce qui m'étonne c'est que sans la zone privée comment puis-je arriver sur le dsm avec mon reverse proxy sans loopback et en ayant fait la redirection http vers https ?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, Jeff777 a dit :

même l'adresse IPV6 temporaire qui justement est utilisée sur internet pour éviter d'utiliser une adresse basée sur l'adresse mac?

Une IPv6 temporaire est une IPv6 globale comme toutes les autres, sauf qu'elle change tous les X.

Il y a 12 heures, Jeff777 a dit :

Bon ce qui m'étonne c'est que sans la zone privée comment puis-je arriver sur le dsm avec mon reverse proxy sans loopback et en ayant fait la redirection http vers https ?

Pas bien compris, tu veux savoir comment tu pourrais le faire ou comment tu arrives à le faire ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.