4 sites web + reverse proxy + let's encrypt >>> possible ?

[YanHulbert]

bonjour,

j'ai 4 petits sites internet familiaux chez un hébergeur. peu de connexions et peu de trafic.
je souhaite les rapatrier tous les 4 sur mon nas.

j'ai une freebox, un RT2600 et un DS1819 (dsm7).

je cherche et je m'instruis pour connaitre les moyens à mettre en oeuvre et si cela est dans mes compétences pour mener à bien ce projet avec mes 2 Syno.
la redirections de port de la freebox et du RT, je maitrise assez. sur le nas, j'utilise Note Station, Drive, Surveillance Station, je stocke aussi mes vidéos et music accessibles par les PC de la maison. le serveur DNS du RT et le NTP pour que tout se trouve à la même heure et aussi accessible en cas de panne de freebox.

j'ai lu qu'il est possible d'héberger plusieurs sites sur le NAS. je pense pouvoir me débouiller ainsi que faire les modifications chez mon registrar (j'ai déjà fait plusieurs fois lors des changement d'hébergeurs)

les questions qui me posent problème car je ne vois pas bien comment procéder pour arriver à un résultat fonctionnel sont le reverse proxy pour les 4 sites et les certificats Let's Encrypt., déjà, ou les installer, sur le RT2600 ou sur le NAS ?

est ce rédhibitoire si j'ai des identifiants quickconnect pour accéder à surveillance station ?
là, j'avoue que je sèche un peu même si j'ai passé du temps à lire tous les tuto et infos du site, il y a des choses que ma tête ne connecte pas.

pouvez vous me dire si je fais fausse route et que je ferais mieux de reste chez mon hébergeur
merci
Yan

[oracle7]

@YanHulbert

Bonjour,

Voici quelques pistes :

• Pour commencer et pouvoir utiliser au final le reverse proxy il te faut un nom de domaine : voir ce TUTO Pourquoi et comment utiliser un nom de domaine.
• Ensuite tu créeras un certificat LE pour ce domaine "ndd.tld" et son wilcard associé "*.ndd.tld" qui couvrira tous tes "sous-domaines" dont ceux de tes différents sites : voir ces TUTO selon que ton NAS permet docker ou non. Avec docker : TUTO ou sans passer par docker : TUTO ou encore mais moins simple à l'usage avec un domaine en xxxx.synology.me via DSM (voir la doc en ligne).
  Ainsi le certificat LE sera créé sur un de tes NAS. Tu en exporteras les fichiers (du certificat LE) correspondants . Il te suffira juste ensuite d'importer manuellement les fichiers de ce certificat sur le second NAS et sur le RT.
  Bien évidemment chez ton fournisseur de domaine tu auras préalablement à la création du certificat, ajouté à ta zone DNS les enregistrements qui vont bien. A savoir si tu as une @IP externe fixe : un enregistrement de type A qui fera pointer ton domaine sur cette @IP externe (si elle n'est pas fixe il te faudra faire un DynDNS/DDNS ainsi que sur le NAS qui supportera le reverse proxy) et un enregistrement de type CNAME pour le Wilcard qui pointera lui sur ton domaine.
• Enfin avec tes "sous-domaines" (j'imagine un par site) tu créeras les redirections HTTPS qui vont bien (vers les @IP locales de tes sites) avec le reverse proxy : voir TUTO.

Voilà cela te feras pas mal de manipulations mais rien d'insurmontable si tu es a minima attentif.

Cordialement

oracle7😉

Modifié le 3 août 2021 par oracle7

[MilesTEG1]

il y a 18 minutes, oracle7 a dit :

Ainsi le certificat LE sera créé sur un de tes NAS. Tu en exporteras les fichiers (du certificat LE) correspondants . Il te suffira juste ensuite d'importer manuellement les fichiers de ce certificat sur le second NAS et sur le RT.

Il n'a qu'un seul NAS d'après son message 🙂 

Et je ne pense pas que ce soit utile de placer le certificat sur le RT, à moins de vouloir le rendre accessible depuis internet... ce qui serait pas super sécurisé 🙂 (on peut aussi passer par le reverse proxy du NAS et donc s'abstenir de mettre un certificat sur le RT).

 

Par contre, pour avoir plusieurs sites internet fonctionnels sur le NAS, faut pas passer par des virtualhost avec webstation ? (là je n'y connais rien hein ;))

[oracle7]

@MilesTEG1

Bonjour,

il y a 7 minutes, MilesTEG1 a dit :

Il n'a qu'un seul NAS d'après son message

C'est juste, je n'ai pas les yeux en face de trous ce matin 🤪

il y a 8 minutes, MilesTEG1 a dit :

on peut aussi passer par le reverse proxy du NAS et donc s'abstenir de mettre un certificat sur le RT

Oui tu as raison, j'ai peut-être été un peu trop loin là ... Merci de ta remarque.🤗

Cordialement

oracle7😉

 

[YanHulbert]

Il y a 19 heures, oracle7 a dit :

C'est juste, je n'ai pas les yeux en face de trous ce matin

bonjour @oracle7 😛  je confirme pour hier pour les trous en face des yeux ;-).   aujourd'hui, ça va mieux ?  pardon de te chambrer mais je me rends compte que je ne suis pas le seul à avoir des 'retards à l'allumage', c'est le cas des vieux diesels.☕

Il y a 20 heures, oracle7 a dit :

Pour commencer et pouvoir utiliser au final le reverse proxy il te faut un nom de domaine

je souhaite, dans un premier temps, en transférer 4 fonctionnels depuis bien des années. comment parametrer le reverser proxy pour chaque site ?

 

 

Il y a 20 heures, oracle7 a dit :

Ensuite tu créeras un certificat LE pour ce domaine "ndd.tld" et son wilcard associé "*.ndd.tld" qui couvrira tous tes "sous-domaines" dont ceux de tes différents sites

j'en ai 4 à faire. 8 ou 9 à terme à ramener sur le nas.

 

Il y a 20 heures, oracle7 a dit :

Enfin avec tes "sous-domaines" (j'imagine un par site) tu créeras les redirections HTTPS qui vont bien (vers les @IP locales de tes sites) avec le reverse proxy :

pas de sous domaines. sur ces sites, tu arrives sur une page d'accueil avec les dernières infos et des liens à cliquer suivant la rubrique que tu veux accéder  ce sont des sites 'basiques'.

 

Il y a 20 heures, oracle7 a dit :

Bien évidemment chez ton fournisseur de domaine tu auras préalablement à la création du certificat, ajouté à ta zone DNS les enregistrements qui vont bien. A savoir si tu as une @IP externe fixe : un enregistrement de type A qui fera pointer ton domaine sur cette @IP externe (si elle n'est pas fixe il te faudra faire un DynDNS/DDNS ainsi que sur le NAS qui supportera le reverse proxy) et un enregistrement de type CNAME

comme dit précédemment, ce sont des ndd qui ''''m'appartiennent'''' depuis des années.
Chez mon registrar, je gère et je sais faire les redirection 'kivonbien' , jongler et permuter avec les différents hébergeurs des mes sites.

 

Il y a 20 heures, MilesTEG1 a dit :

Il n'a qu'un seul NAS d'après son message

bonjour @MilesTEG1   effectivement je n'ai qu'un ds1819

 

Il y a 20 heures, MilesTEG1 a dit :

Par contre, pour avoir plusieurs sites internet fonctionnels sur le NAS, faut pas passer par des virtualhost avec webstation ? (là je n'y connais rien hein ;))

yvouiii, je suis passé par les virtual host. j'ai créé 2 host (provisoires) avec des vrais noms de domaine existants et dont les sites fonctionnent chez un hébergeur.  j'ai fait les modif 'kivonbien' chez mon registrar et j’accède à ces 2 sites sur mon nas.

 j'ai bossé un peu et encore lu beaucoup de fils de discussion concernant le reverse proxy et si je comprends bien, cela n'est utile que si je veux accéder à des paquets particuliers depuis l'extérieur et c'est jamais le cas pour moi.

concernant le certificat LE, je pense avoir compris que c'est lui qui donne un accès 'sécure' lorsque j’accède à mes sites web. dans ce cas, ou le(s) mettre ?   sur le routeur ou sur le nas?
mhéééééé , est-ce possible d'en demander 8 ou 9 d'un coup concernant les 8 ou 9 sites que j'hébergerai lorsque j'aurai fait la bascule ?

merci beaucoup d'avoir pris le temps de me consacrer vos réponses.

cordialement.
Yan
 
 

[oracle7]

@YanHulbert

Bonjour,

il y a 2 minutes, YanHulbert a dit :

je me rends compte que je ne suis pas le seul à avoir des 'retards à l'allumage', c'est le cas des vieux diesels

Bah bienvenue au club ...🤪

il y a 3 minutes, YanHulbert a dit :

comment parametrer le reverser proxy pour chaque site ?

Avec ton domaine tu utiliseras un nom de domaine spécifique à chaque site et chacun pointera sur l'@IP locale ou externe du site concerné. Je te renvoie au TUTO pour la définition exacte des redirections à mettre en place.

Par ex : site1.ton_domaine.tld --> @IP site1, site2.ton_domaine.tld --> @IP site2, etc ...

il y a 7 minutes, YanHulbert a dit :

j'en ai 4 à faire. 8 ou 9 à terme à ramener sur le nas.

NON, un seul certificat pour tous tes sites. Justement le wilcard "*.ton_domaine.tld" couvrira automatiquement tous les "sous-domaines" correspondants de chacun de tes sites "site1.ton_domaine.tld", "site2.ton_domaine.tld", "site3.ton_domaine.tld", etc ...

il y a 11 minutes, YanHulbert a dit :

pas de sous domaines. sur ces sites, tu arrives sur une page d'accueil avec les dernières infos et des liens à cliquer suivant la rubrique que tu veux accéder  ce sont des sites 'basiques'.

Là j'avoue ne pas comprendre. Pour moi, tu accédais à un site donné avec un "sous-domaine" spécifique donc avec une URL du genre "sitex.ton_domaine.tld", c'est pas cà ? Je me trompe ? Là comme je n'ai pas de site perso, je ne sais pas comment cela ce passe ensuite. Désolé ...

Pour le reverse proxy, il faut bien voir qu'il te procure un accès sécurité HTTPS à tes sites en masquant leur @IP réelle locale. Tout le flux passe par le port '443 et est ensuite rediriger selon le "sous-domaine" conteneu dans l'URL entrante vers la bonne @IP correspondante. Rien de plus compliqué.

Cordialement

oracle7😉

 

 

[YanHulbert]

Il y a 1 heure, oracle7 a dit :

Bah bienvenue au club ...

🏁 ouais, sauf que sur la ligne d'arrivée,🏁 aujourd'hui, je suis loin de monter sur le podium.🐘
 

 

Il y a 1 heure, oracle7 a dit :

NON, un seul certificat pour tous tes sites. Justement le wilcard "*.ton_domaine.tld" couvrira automatiquement tous les "sous-domaines" correspondants de chacun de tes sites "site1.ton_domaine.tld", "site2.ton_domaine.tld", "site3.ton_domaine.tld", etc ...

quand je dis que je suis devenue une buse inculte... comment rédiger la requête pour 8 ndd ?  je n'ai aucun sous-domaine. ils sont tout indépendants l'un de l'autre et n'ont pas de point commun ni même de dossier commun.

 

Il y a 1 heure, oracle7 a dit :

Pour moi, tu accédais à un site donné avec un "sous-domaine" spécifique donc avec une URL du genre "sitex.ton_domaine.tld", c'est pas cà ?

hé oui, c'est pas ça. j'ai du mal m'exprimer.
 je pense mettre en ligne 8 ou 9 sites/

toto.com
titi.com
tutu.com
...
tata.com

 tous ces sites sont indépendants, n'ont pas de point commun ni de dossiers communs et certains ne sont même pas chez le même registrar

 quelque soit le site contacté, on arrive sur une page ou là, il y a plusieurs choix possibles qui redirige vers des dossiers/ appli/service spécifiques.. Jamais il n'y a de XXX.toto.com ou de YYY.toto.com.   c'est toto.com et seulement là que le choix du service s'affiche. c'est là, d'après ce que j'ai lu et compris (je me suis peut être -surement- trompé) que j'ai compris ne pas avoir besoin du reverse proxy mais seulement du certificat LE

 

Il y a 1 heure, oracle7 a dit :

Pour le reverse proxy, il faut bien voir qu'il te procure un accès sécurité HTTPS à tes sites en masquant leur @IP réelle locale. Tout le flux passe par le port '443 et est ensuite rediriger selon le "sous-domaine" conteneu dans l'URL entrante vers la bonne @IP correspondante. Rien de plus compliqué.

sur un site de test mis en place sur mon nas.
 je fais  https://ta..., j'ai =>> 

et je fais http://ta.., j'ai  =>>

est ce que c'est bien là qu'intervient l'usage du certificat LE  ( ne pas oublier que j'en ai 7 ou 8 autres à venir s'implémenter en parallèle  ...) ?

bon appétit à vous, moi, j'y vais avant de me prendre un coup de rouleau à tarte... ouaiiii j'ai une femme dominatrice   rire rire rire rire rire

merci
Yan

 

[oracle7]

@YanHulbert

Bonjour,

il y a 16 minutes, YanHulbert a dit :

je n'ai aucun sous-domaine. ils sont tout indépendants l'un de l'autre et n'ont pas de point commun ni même de dossier commun.

OK désolé j'ai mal compris. Donc puisque tu as 8 ou 9 sites avec un domaine par site alors tu n'as pas le choix il te faut faire un certificat LE pour chacun des domaines associés à ces sites. Tant que tu n'auras pas créer ces 8 ou 9 certificats LE, tu auras les alertes de sécurité par ton navigateur Web.

Maintenant, tous ces sites ont-ils  la même @IP externe ou bien tu as une @IP externe différente par site ? (j'ai un peu de mal à suivre ...)

Dans le cas, où tous tes sites partages la même @IP externe (qui serait celle de ton NAS si je ne me trompe pas) alors tu peux très bien utiliser le reverse proxy pour rediriger chaque connexion vers un site selon le domaine en entrée vers l'@IP locale du site concerné.

Là c'est moi qui viens de prendre le cout de bambou derrière la tête à force de répondre "j'arrive !" 🤪

Cordialement

oracle7😉

 

 

[MilesTEG1]

il y a 8 minutes, oracle7 a dit :

Maintenant, tous ces sites ont-ils  la même @IP externe ou bien tu as une @IP externe différente par site ? (j'ai un peu de mal à suivre ...)

Dans le cas, où tous tes sites partages la même @IP externe (qui serait celle de ton NAS si je ne me trompe pas) alors tu peux très bien utiliser le reverse proxy pour rediriger chaque connexion vers un site selon le domaine en entrée vers l'@IP locale du site concerné.

Hmmm je crois que tu n’es pas encore très bien réveillé 😜

Si j’ai bien compris il veut mettre ses 8 sites sur le même NAS !

et chacun de ses sites sera accessible via son nom de domaine dédié.

 

après je ne sais pas comment il stock les données des sites : quels dossiers, dans www ? Un site par sous dossier de www ??
Là je n’y connais pas grand chose, j’apprécierais d’ailleurs des explications sur les virtualhost à l’occasion 😇

 

Du coup avec son fonctionnement, le reverse proxy ne va pas marcher car on ne peut pas spécifier un dossier de destination sur une ip… sauf à passer par le fichier de configuration et à le modifier à la main (c’est du nginx) mais ce n’est pas pérenne car après une modif du reverse proxy dans dsm ou un reboot le fichier est réinitialisé.

 

@YanHulbertNe serait il pas possible que tous ces sites partagent le même domaine :

site1.ndd.tld 
site2.ndd.tld 

etc…

mais là encore le reverse proxy ne serait pas très utile, le seul gain serait dans le certificat wildcard qui serait valable pour tous les sites en une fois.

[maxou56]

Il y a 1 heure, YanHulbert a dit :

je pense mettre en ligne 8 ou 9 sites/

toto.com
titi.com
tutu.com
...
tata.com

 tous ces sites sont indépendants, n'ont pas de point commun ni de dossiers communs et certains ne sont même pas chez le même registrar

Bonjour,

Pas de soucis si chaque nom de domaine sont bien configuré et point bien sur ton IP public.

Et que les ports 80/443 sont bien transmit au NAS et le pare-feu correctement configuré.

Il faudra créer un ou plusieurs  "Virtual Host" par Site. Par exemple toto.com (80/443) > le dossier /web/toto (et par exemple un autre www.toto.com > web/toto)

Il faudra demander un certificat par non de domaine (voir sous domaine ou créer un wildcard) et dans panneau de configuration > sécurité > certificat > modifier et choisir le bon certificat pour le Virtual Host correspondant.

 

Ne pas configurer un site sur la racine /web (par exemple tata.com > /web sinon en tapant manuellement tata.com/toto on pourra accéder au site toto)

Modifié le 4 août 2021 par maxou56

[oracle7]

@maxou56

Bonjour,

Merci pour ton complément d'information. Je n'étais pas si loin de la solution mis à part le besoin de création de plusieurs VirtualHost que je découvre. Je ne savais pas que c'était possible. Encore une chose d'apprise aujourd'hui !😆 Du coup effectivement le reverse proxy n'est pas utilisable.

Maintenant comme le rappelle @MilesTEG1, la solution que chaque site partage le même domaine serait quand même bien plus simple à gérer avec un seul certificat LE et son wilcard comme je le préconisais initialement.

Cordialement

oracle7😉

 

[YanHulbert]

il y a 47 minutes, MilesTEG1 a dit :

Si j’ai bien compris il veut mettre ses 8 sites sur le même NAS !

oui et plus encore si possible puisque ce ne sont pas des sites avec un grand nombre de connexions

 

il y a 48 minutes, MilesTEG1 a dit :

et chacun de ses sites sera accessible via son nom de domaine dédié.

c'est le but,

 

il y a une heure, oracle7 a dit :

Dans le cas, où tous tes sites partages la même @IP externe (qui serait celle de ton NAS si je ne me trompe pas) alors tu peux très bien utiliser le reverse proxy pour rediriger chaque connexion vers un site selon le domaine en entrée vers l'@IP locale du site concerné.

tous les sites arrivent sur ma même ip fixe puisque je fais les redirections chez le registrar vers on IP à moi.

type A  vers mon IP fixe
type CNAME vers mon nom de domaine

 

il y a une heure, MilesTEG1 a dit :

Ne serait il pas possible que tous ces sites partagent le même domaine :

site1.ndd.tld 
site2.ndd.tld 

non, c'est pas ce que je veux.  chaque site à son nom de domaine propre

 

voila le virtual host  et les dossier dans /web/

 

il y a 20 minutes, oracle7 a dit :

a solution que chaque site partage le même domaine serait quand même bien plus simple à gérer avec un seul certificat LE et son wilcard comme je le préconisais initialement.

bin oui, c'est là ou je sèche, comment rentre plusieurs noms de domaine pour obtenir le LE et ou le placer, dans le routeur ou dans le nas.

 merci pour vos infos sur ce point assez obscure pour moi
 je vais tailler les rosiers avant de me faire enguel..er
cordialement

[MilesTEG1]

Merci @YanHulbert pour les captures, je commence à comprendre le fonctionnement des virtualhost ^^

Pour les certificats, c'est ici qu'il faut aller :

Tu en ajoutes un par nom de domaine, et c'est tout (je pense 😉 )
Par contre ce ne sera pas du wildcards 😉 un différent par nom de domaine.