Aller au contenu

Accès LAN via nom de domaine


higs

Messages recommandés

@toutnickel

Bonjour,

Pour le certificat suit ce que t'a dit précédemment @cadkey  pour le nommage du domaine et son wilcard associé, je ne t'aurais pas mieux dit ...

Une fois que ton certificat est clair, alors suit le TUTO reverse proxy en t'adaptant selon le domaine que tu as retenu et sur la base des indications que je t'ai donné initialement et tout ira bien 😀

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Bonjour,

En fait, dans l'idée c'était pour accéder depuis l'extérieur via un nom de domaine à son répertoire partagé. Mais à la réflexion, comme cela, il ne pourrait effectivement atteindre qu'une application telle que FIleStation par ex ou une machine de son réseau local. Donc finalement mauvaise piste ... 🤔

Le VPN serait donc sûrement plus adapté.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Hello

Comme je suis curieux aussi je voulais testé le proxy inversé, mais sans succès même avec les tutos

là ! ... je suis nul de chez nul !

j'ai tout essayer mais rien n'y fait cela ne fonctionne pas et je comprends pas tout 

ndd.fr cela correspond bien à : "dupont.synology.me"
ce qui donne "fichiers.dupont.synology.me"

c'est bien cela ?

fig du tuto

image.png.3e7c89833ed81f9d8dd17382a6608356.png  j'ai aussi testé 7001 et pareil 

 

 --> j'ai mis "file" du coup

le certificat ajouté 

Certificat dupont.jpg

 

le proxy inversé, aussi testé avec 443 en source mais c'est idem

Proxy inversé.jpg

et cela ne fonctionne pas !
les ports : 7000, 7001, 80, 443, sont redirigé sur l'IP du Nas.

Que faire d'autre ?

 

Modifié par toutnickel
ajout jpeg
Lien vers le commentaire
Partager sur d’autres sites

@toutnickel

Bonjour,

Pour commencer, est-ce qu'avec (sous SSH) un nslookup dupont.synology.me tu obtiens bien ton @IP externe ? Si ce n'est pas le cas, ne va pas plus loin, il faut résoudre d'abord ce problème !

il y a une heure, toutnickel a dit :

ndd.fr cela correspond bien à : "dupont.synology.me"
ce qui donne "fichiers.dupont.synology.me"

c'est bien cela ?

OUI donc pour la redirection pour atteindre FileStation cela donnerait tout simplement :

https://fichiers.dupont.synology.me  443 (http/2)  vers http://localhost 7000

Dans la règle de redirection, as-tu bien saisi le champ destination / Nom d'hôte avec localhost ? Car c'est trompeur, la valeur localhost est bien affichée par défaut MAIS il faut la saisir effectivement pour que cela marche.

il y a une heure, toutnickel a dit :

les ports : 7000, 7001, 80, 443, sont redirigé sur l'IP du Nas.

Pas besoin de rediriger les ports 7000 et 7001 dans la box vers le NAS, seuls les ports 80 et 443.

Par contre il faut que les ports 80 et 443 soient ouverts/autorisés dans le pare-feu du NAS.

Enfin si j'étais toi, dans un premier temps ne cherches pas à modifier les ports par défaut (ex plus haut avec le 45002), fais marcher le tout correctement avec les ports standards ensuite tu pourras les modifier si vraiment c'est utile pour toi. Maintenant ce que j'en dis ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 35 minutes, oracle7 a dit :

 

OUI donc pour la redirection pour atteindre FileStation cela donnerait tout simplement :

https://fichiers.dupont.synology.me  443 (http/2)  vers http://localhost 7000

@oracle7 As-tu essayé? A mon avis ça ne fonctionne pas via 'reverse proxy' mais par 'Portail des applications' 'Application'.
Pas sûr que cela réponde à son besoin de plus.

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

@cadkey

Bonjour,

Pour ma part je n'utilise pas de domaine en "xxxx.synology.me", j'ai un domaine personnalisé équivalent en "ndd.tld" (un niveau en moins et pas en synology.me) et cela fonctionne très bien chez moi avec des redirections du type (je ne vois d'ailleurs pas en quoi ce serait différent ! un domaine est un domaine, non ?) :

https://ItemApplication.ndd.tld 443 (http/2) vers http://localhost PortHttpApplication

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

@toutnickel

Bonjour,

Pour commencer, est-ce qu'avec (sous SSH) un nslookup dupont.synology.me tu obtiens bien ton @IP externe ? Si ce n'est pas le cas, ne va pas plus loin, il faut résoudre d'abord ce problème !

OUI donc pour la redirection pour atteindre FileStation cela donnerait tout simplement :

https://fichiers.dupont.synology.me  443 (http/2)  vers http://localhost 7000

Dans la règle de redirection, as-tu bien saisi le champ destination / Nom d'hôte avec localhost ? Car c'est trompeur, la valeur localhost est bien affichée par défaut MAIS il faut la saisir effectivement pour que cela marche.

Pas besoin de rediriger les ports 7000 et 7001 dans la box vers le NAS, seuls les ports 80 et 443.

Par contre il faut que les ports 80 et 443 soient ouverts/autorisés dans le pare-feu du NAS.

Enfin si j'étais toi, dans un premier temps ne cherches pas à modifier les ports par défaut (ex plus haut avec le 45002), fais marcher le tout correctement avec les ports standards ensuite tu pourras les modifier si vraiment c'est utile pour toi. Maintenant ce que j'en dis ...

Cordialement

oracle7😉

 

Pour nslookup, apparemment ce serait bon j'ai en réponse mon IP externe


Pour la redirection c'est exactement  --> https://fichiers.dupont.synology.me  443 (http/2)  vers http://localhost 7000

nslookup sous ssh.jpg

il me reste a vérifier les ports 443 et 80 du pare feu, 
80, 7000, 7001,  c'est bon j'y accède donc cela devrait être bon 
je vérifie le443

 

Modifié par toutnickel
Lien vers le commentaire
Partager sur d’autres sites

@toutnickel

Bonjour,

  1. Pour commencer, ton reverse proxy ne peut fonctionner car manifestement tu n'as pas ouvert le port 443 dans ton pare-feu (tu peux le limiter à la France si nécessaire).
    Du coup, sauf erreur de ma part, cela expliquerait le message précédent de connexion non sécurisée.
     
  2. Dans ton pare-feu, quel est l'intérêt d'ouvrir ton NAS à la terre entière sur le port 32400 TCP ?
     
  3. Toujours dans le pare-feu tu autorises le sous-réseau local 192.168.0.0 alors que précédemment dans une copie d'écran pour une redirection du reverse proxy tu pointes sur une @IP du sous-réseau 192.168.1.0.
    De plus, pour ce sous-réseau 192.168.0.0 tu as mis un masque de 255.255.0.0 ce qui autorise 65534 @IP/machines possibles, tu as vraiment besoin d'autant d'@IP pour tes périphériques ?
    Ne serait-il pas mieux d'utiliser un masque 255.255.255.0 qui lui, n'autorise que 254 machines ? Maintenant c'est toi qui vois ....

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Hello 
- quand tu me dis c'est toi qui vois, lol , En fait j'ai copié tout ça dans les quelques tuto du forum, j'essaie de faire au mieux et avec ms connaissances ...
1 - port 80 et 443 sont dans le liste des port autorisés par syno dans la 3eme règle

2 - Port 32400 c'est plex

3 - Comme je l'ai écris, j'ai pompé sur un tuto quelque part dans le forum.

Si tu veux bien m'orienter pour que je mette les bonnes règles , je suis preneur...

Merci 

Par contre quand je mets --> https://dupond.synology.me/file --> sans mettre le port cela fonctionne , et j'arrive sur le login de file station

C'est bizarre ...

 

regle 80 et 443.jpg

 

c'est corrigé pour le 192.....

Regle IP Locale.jpg

Modifié par toutnickel
modif et ajout jpeg
Lien vers le commentaire
Partager sur d’autres sites

@toutnickel

Bonjour,

il y a 56 minutes, toutnickel a dit :

j'essaie de faire au mieux et avec ms connaissances ...

Pas de soucis, c'était juste pour dire que tu restes maître de tes choix, ni voit aucun mal de ma part ...

1 - OK alors, mais comme ta copie d'écran ne le montrait pas, difficile de le deviner ...

2 - Est-ce que tu accèdes à Plex de l'extérieur depuis le monde entier ? Si Non, alors peut-être que tu pourrais limiter au moins à la France, non ?

3 - Tu as dû prendre/"pomper" cela dans le TUTO de sécurisation du NAS, cette disposition est bonne mais elle est très (trop) large pour un utilisateur lambda. Aussi, c'est pour cela que je t'ai proposé de la réduire. Quitte à sécuriser autant réduire le nombre d'@IP qui peuvent se connecter. Au passage il serait de même pour le sous-réseau 10.0.0.0 qui selon le type de VPN utilisé peut lui aussi être réduit. Pour le sous-réseau 172.16.0.0, il n'est utile que si tu utilises docker sur le NAS ou du VPN en L2TP/IpSec.

A part cela, c'est "tout nickel" 🤪

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Je te remercie,

De ce côté là c'est bon, mais le proxy inversé, lui toujours pareil

Par contre quand je mets --> https://dupond.synology.me/file --> sans mettre le port cela fonctionne , et j'arrive sur le login de file station, mais il est pas inversé ...

je sais pas ce qui me manque... pour que https://file.dupond.synology.me  fonctionne correctement .

 

 

Lien vers le commentaire
Partager sur d’autres sites

@toutnickel

Bonjour,

Ta redirection est bien : https://file.dupond.synology.me  443 (http/2)  vers http://localhost 7000  ?

Vérifies quand même sous SSH ce que donne nslookup file.dupond.synology.me --> ton @IP locale du NAS

Au passage, un coup tu mets "dupont" un coup "dupond" ???? lequel est le bon ?

Sinon dans "Portail des application / Application" tu as bien renseigné le port 7000 pour HTTP et rien pour HTTPS ?

Enfin, ton certificat est-il bien appliqué à ton à ton domaine et tous tes services dont entre autres " file.dupond.synology.me " ? --> Sécurité / Certificat / Configurer

Donc pour te connecter à FileStation tu n'as juste qu'a saisir file.dupond.synology.me dans un navigateur Web (vides le cache du navigateur aussi avant pour tout nettoyer).

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 32 minutes, toutnickel a dit :

Par contre quand je mets --> https://dupond.synology.me/file --> sans mettre le port cela fonctionne , et j'arrive sur le login de file station, mais il est pas inversé ...

je sais pas ce qui me manque... pour que https://file.dupond.synology.me  fonctionne correctement .

Normal, File Station est une application liée à DSM, il faut obligatoirement le mot de passe.
Pour 'ce qui manque' c'est tout simplement qu'il ne faut pas passer par 'Portaill des applications' 'Proxy inversé'
@oracle7 n'a pas dû essayer...
Il faut passer
 par 'Portails des applications' 'Application':
image.thumb.png.92517301adfd9c13ce32c55886e9438e.png

tout comme les applications Download Station et Surveillance Station.
 

Modifié par cadkey
Lien vers le commentaire
Partager sur d’autres sites

@cadkey

Bonjour,

Je crains que tu n'ai pas bien saisi la nuance dans le portail des applications entre l'onglet 'Application' et l'onglet 'reverse proxy'.

Avec le premier tu peux modifier les ports derrière les quels l'application concernée va répondre aux requêtes externes MAIS et sauf erreur de ma part, ces ports sont exposés à l'extérieur car pour atteindre de l'extérieur l'application il faut ouvrir ce port dans le pare-feu (pas nécessaire en local). Donc un malveillant saura facilement derrière quel port se trouve l'application.

Avec le second, tout le trafic passe par un unique port sécurisé qui est le 443 et qu'écoute en permanence le "front end" du reverse proxy. En suite selon le domaine de la requête le "frontend" transfert celle-ci au "backend" qui aiguille la requête vers le service/application concerné(e) sur le bon port, qui lui, reste parfaitement masqué de l'extérieur. Donc pas besoin d'ouvrir d'autres ports que le 443 à l'extérieur.

Voilà ma vision et  compréhension du processus. Maintenant si j'ai dis des co...ies , j'accepte volontiers d'être corrigé afin de me remettre éventuellement sur les bons rails. On a tous le droit à l'erreur ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.