Portail des Applications vs Reverse Proxy

[Kramlech]

Bonjour a tous

Dans le but de remettre à plat les différentes manières d'accéder à mon NAS, je m’aperçois qu'avec le temps j'ai mis en place deux manières d'accéder aux applications du NAS.

La première, c'est en utilisant le portail des applications. Ce portail permet définir trois type d'accès à une application du NAS :

1. Par un alias personnalisé, ce qui permet d'accéder via une URL de type https://<monNDD>/<alias>
2. Par un port, ce qui permet d'accéder via une URL de type https://<monNDD>:<port>
3. Par un domaine personnalisé, ce qui permet d'accéder via une URL de type https://<alias>.<monNDD>. C'est systématiquement ce type d'accès que j'utilise.

La deuxième, c'est en utilisant le Reverse Proxy.

On se rend compte que le troisième type d'accès du portail correspond en fait à un Reverse Proxy (du moins j'ai toujours fait cet amalgame, je ne sais pas si c'est techniquement exact, sans doute un expert pourrait répondre à cette question).

Historiquement, la première solution a été mise en place dans le DSM bien avant le Reverse Proxy. De plus seules les applications standard du NAS (et encore pas toutes) peuvent être gérées dans ce portail.

J'en arrive donc a mes questions :

1. D'après vous quels sont les avantages/inconvénients d'utiliser le domaine personnalisé plutôt que le Reverse Proxy ?
2. Est-ce qu'on peut se passer complètement du domaine personnalisé et tout paramétrer via le Reverse Proxy ?
3. Est-ce qu'avec le DSM 7, toutes les applications du NAS auront bien leur entrée dans le portail ?
4. Quelles sont vos préconisations : paramétrer les application du NAS dans le portail et les autres dans le Reverse Proxy, ou tout paramétrer dans le Reverse Proxy (pour tout avoir au même endroit) ?

Merci pour vos conseils ...

[cadkey]

C'est bien plus simple. Le proxy inversé se paramètre dans portail des applications. Ça évite d'ouvrir des ports à l'extérieur, tout peut passer par le port 443 en https. Et un nom de sous domaine est facile à retenir. Un seul certificat LE.

Modifié le 17 juin 2021 par cadkey

[Kramlech]

@cadkeyJe pense que tu n'as pas compris mes questions. Elles ne portent pas sur le fait d'utiliser un Reverse Proxy, ce sur quoi je suis un adepte depuis de nombreuses années (avant même que l'onglet Reverse Proxy n'existe dans le Portail des Applications !).

Elles portent sur le fait qu'il y a deux manières de paramétrer un Reverse Proxy dans le Portail des Applications : via l'onglet "Applications" pour certaines applications standard du DSM, ou via l'onglet "Reverse Proxy". Et je voulais avoir les avis d'usages d'autres utilisateurs pour connaitre les plus ou les moins de ces méthodes, et savoir s'il y a des avantages ou inconvénients pour chacune de ces deux méthodes ...

[Thierry94]

Je vois au moins 1 différence entre les 2 méthodes : avec le reverse proxy tu peux arriver en HTTPS et continuer en HTTP sur le réseau local alors qu'avec le nom de domaine particulier sur une application tu dois continuer comme tu es entré

Modifié le 17 juin 2021 par Thierry94

[cadkey]

Comme je l'ai écrit, le proxy inversé permet de n'ouvrir que le port 443.
L'onglet application n'est pas un proxy inversé. https://kb.synology.com/fr-fr/DSM/help/DSM/AdminCenter/application_appportalias?version=6

[Kramlech]

Si le troisième choix "Activer un domaine personnalisé" ce n'est pas un proxy inversé, il faudra m'expliquer ce que c'est (cela fait d'ailleurs partie de mes questions)...

Il y a 19 heures, Kramlech a dit :

On se rend compte que le troisième type d'accès du portail correspond en fait à un Reverse Proxy (du moins j'ai toujours fait cet amalgame, je ne sais pas si c'est techniquement exact, sans doute un expert pourrait répondre à cette question).

@Thierry94Effectivement, c'est sans doute une différence ... Mais comment le démontrer ?

[PiwiLAbruti]

Le Portail des applications permet de personnaliser directement le nom de domaine des applications web du NAS qui y sont référencées. Il présente l'intérêt d'éviter le deuxième appel réalisé par le proxy inversé.

Avec proxy inversé : https://app.domain.tld > proxy inversé > http://localhost:12345 > Application

Avec le Portail des applications : https://app.domain.tld > Application

Même si DSM n'est pas référencé dans le Portail des applications, il reste possible de lui éviter le passage par le proxy inversé en définissant un nom de domaine personnalisé dans Panneau de configuration > Réseau > onglet Paramètres DSM > section Domaine (tout en bas). Cocher la case Activer un domaine personnalisé et renseigner le nom de domaine.

[cadkey]

Il y a 2 heures, Kramlech a dit :

Si le troisième choix "Activer un domaine personnalisé" ce n'est pas un proxy inversé, il faudra m'expliquer ce que c'est

@Kramlech Non ce n'est pas un proxy inversé.
 @PiwiLAbruti T'a donné la réponse concernant la différence entre un proxy inversé et le portail des applications.
Tu as aussi d'autres éléments de réponse dans l'aide synology qui est très interessante, c'est très bien détaillé pour bien faire la différence avec un proxy inversé https://kb.synology.com/fr-fr/DSM/help/DSM/AdminCenter/application_appportalias?version=6
Un proxy inversé fonctionne ainsi: https://fr.wikipedia.org/wiki/Proxy_inverse#:~:text=Un proxy inverse (reverse proxy,accéder à des serveurs internes.

Modifié le 17 juin 2021 par cadkey

[Thierry94]

Le proxy inversé permet également d'utiliser les profils d'accès pour par exemple limiter l'accès à dsm.ndd.xx au réseau local, vpn et en interdire l'utilisation depuis l'extérieur 

[PiwiLAbruti]

Exact @Thierry94, le domaine personnalisé dans Réseau > Paramètres de DSM ne permet pas définir ces règles d'accès.

[Kramlech]

OK, les choses commencent à se préciser ...

Si je synthétise, pour une finalité identique (lier un domaine à une application précise), voici les avantages/inconvénients que je retiens :

• Portail de applications :
• Accès direct sans deuxième appel du Reverse Proxy
• On reste en https
• Seules certaines (toutes en DSM7 ?) applications sont éligibles
• Pas de profil de contrôle pour l'accès au DSM
• Possibilité de personnaliser la page d'accueil de l'application
• Reverse Proxy
  • Passage par le Reverse Proxy (!),
  • Possibilité de rediriger toutes les applications, DSM ou autre (par exemple docker), voire de rediriger vers d'autres machines (qu'elles soient locales ou pas).
  • Possibilité d'utiliser le profil de contrôle d'accès pour le DSM
  • Centralisation de tous les domaines en un seul endroit.

Bref, je ne suis pas beaucoup plus avancé quant aux choix que je vais faire (basculer toutes mes redirections dans le Reverse Proxy ou garder un mixte entre les deux solutions comme actuellement...)

[oracle7]

@Kramlech

Bonjour,

il y a 26 minutes, Kramlech a dit :

Bref, je ne suis pas beaucoup plus avancé quant aux choix que je vais faire (basculer toutes mes redirections dans le Reverse Proxy ou garder un mixte entre les deux solutions comme actuellement...)

Personnellement j'utilise les deux et même dans certains cas une certaine redondance : par ex pour FileStation qui est défini à la fois dans le portail d'applications et dans le reverse proxy avec un domaine personnalisé et profil de contrôle d'accès pour compléter la sécurité.

Du coup, dans ce dernier cas, cette redondance peut-elle être préjudiciable quelque part ? ou bien cela ne gêne en rien et on peut laisser comme cela ?

Ton avis STP ?

Cordialement

oracle7😉

 

[cadkey]

Personnellement, le Reverse Proxy est le plus securisé, profil de controle, limitation des ports ouverts, le 443 uniquement, parefeu.
Etre en Http à partir de chez soi derrière son routeur n'est pas un problème, puisque on est en adresse locale. Le routeur et le parefeu ont fait le boulot.
Le https ne sert plus à rien à ce stade au niveau du reseau local.
J'ai tout au travers de mon Reverse Proxy. Et surtout rien via application.

Modifié le 17 juin 2021 par cadkey

[MilesTEG1]

Il y a aussi une chose sous-entendue par certains ici mais jamais explicité directement.
Le reverse proxy et les domaines configurés dedans, vont fonctionner pour tout ce qui va arriver dessus, peut importe la provenance : LAN, internet.
Les domaines perso du portail d'applications eux ne vont fonctionner que pour le LAN. Point.

Ce qui est mis dans le portail d'applications permet de ne pas avoir à taper l'IP:port de l'application et d'y accéder avec un raccourcis.

Exemple avec FileStation, port 24242 sur IP 192.168.1.107 en HTTP
On peut définir le domaine personnalise : fichiers, et donc y accéder en tapant : http://fichiers

Autre utilisé : si la box n'est pas capable de gérer le loopback sur le nom de domaine.

Bon par contre, c'est limité aux applications DSM et aux paquets... 

Pour ce qui est en docker, c'est mort -> Reverse proxy !

[oracle7]

@MilesTEG1

Bonjour,

il y a 4 minutes, MilesTEG1 a dit :

Le reverse proxy et les domaines configurés dedans, vont fonctionner pour tout ce qui va arriver dessus, peut importe la provenance : LAN, internet.
Les domaines perso du portail d'applications eux ne vont fonctionner que pour le LAN. Point.

C'est bien de préciser cela, on l'oublie trop facilement ! 👏👍

Cordialement

oracle7😉

 

[Kramlech]

Les domaines perso peuvent s’être accédés depuis l’extérieur (si tu es propriétaire du domaine bien sûr). Par contre tu peux utiliser sur le lan des domaines dont tu n’est pas propriétaire…

[PiwiLAbruti]

Il y a 12 heures, MilesTEG1 a dit :

Les domaines perso du portail d'applications eux ne vont fonctionner que pour le LAN. Point.

C'est faux dans le cas où le domaine t'appartient.

[mick45000]

Bonjour,en  créant  un reverse proxy  (https://audio.ndd.fr) pour l'application audio j'ai la page suivante qui s'affiche

Désolé, la page que vous recherchez est introuvable.

ça marche très bien avec https://ndd.fr/audio

J'ai oublié  un paramétrage quelconque?