Proxy inversé avec contrôle d'accès

[CyberFr]

Lorsque j'utilise le reverse proxy fraîchement mis en place, j'ai droit à cette erreur, que j'accède en HTTP ou en HTTPS.

Le port 80 n'est pas ouvert dans le pare-feu. J'ai modifié depuis longtemps le fichier .htacces afin de forcer l'accès au site Web en HTTPS. Et cela fonctionne toujours.

Modifié le 9 octobre 2021 par CyberFr

[oracle7]

@CyberFr

Bonjour,

Ton erreur 400 vient peut-être une erreur de syntaxe dans le fichier .htaccess, à vérifier donc ...

Cordialement

oracle7😉

[CyberFr]

Bonjour @oracle7,

Je vais vérifier. Merci.

Ben, le contenu du fichier .htaccess dans mon dossier web est strictement identique à celui décrit dans le tuto. Ce qui m'étonne, c'est que j'ai cette erreur y compris lorsque j'accède au reverse proxy en HTTPS.

[oracle7]

@CyberFr

Bonjour,

Alors là je sèche 😳 Essaies quand même d'arrêter et de redémarrer le package Web Station (dans le centre de paquets) mais sans garantie ...

Cordialement

oracle7😉

[CyberFr]

@oracle7,

Dans le tuto, on indique la correspondance : https.xxx.ndd.fr   http.localhost.port de destination

Et comme j'avais le message d'erreur, j'ai modifié le réglage ainsi : https.xxx.ndd.fr   https.localhost.port de destination

Et là ça fonctionne, que je me connecte en HTTP ou HTTPS. Comprenne qui pourra. Je vais maintenant m'occuper du contrôle d'accès.

[oracle7]

@CyberFr

Bonjour,

Je ne voudrais pas faire le "rabat joie" mais il n'est pas recommandé même voir inutile de faire du "sur https" avec le reverse proxy. Tu arrives déjà avec un flux crypté https via le port 443 alors pourquoi le recrypté à nouveau, qui plus est pour aller sur le réseau local ?

Moralité, ton problème est certainement ailleurs.

Dans Réseau/Paramètres de DSM : as-tu bien Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" ? sinon cela casse le processus de reverse proxy.

Cordialement

oracle7😉

[CyberFr]

@oracle7,

J'ai annulé les modifications que j'avais apportées aux réglages du reverse proxy, c'est donc maintenant : https.xxx.ndd.fr   http.localhost.port de destination.

J'ai décoché "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau de DSM" qui était en effet coché auparavant.

Le problème est que je me retrouve maintenant avec le message d'erreur décrit au début du fil et ce que je me connecte en HTTP ou HTTPS.

Modifié le 4 octobre 2021 par CyberFr
En plus le conseiller de sécurité indique en avertissement : La connexion automatique d'HTTP vers HTTPS est désactivée

[oracle7]

@CyberFr

Bonjour,

Juste pour bien comprendre : tu tapes quoi comme URL de connexion ?

Tu ne ferais pas un http:// xxx.ndd.fr:443 par hasard ?

Si oui alors ce n'est pas bon car dans ce cas cela veut dire que tu cherches à utiliser une connexion non SSL pour te connecter à une connexion SSL. Si tu dis à ton navigateur d'utiliser le port 80 mais que tu recherches le port 443, tu ne peux pas aller à gauche et à droite en même temps. Tu me suis ? La bonne syntaxe d'URL est : https://xxx.ndd.fr.

Sinon, ne me demande pas pourquoi, mais pour certaines applications (SurvStation, Calibre, PhotoStation par ex) pour y accéder via Reverse proxy, il faut activer l'entête Websocket (Entête personnalisé / Créer / Websocket) : peut-être une piste pur toi ?

Cordialement

oracle7😉

[CyberFr]

@oracle7,

J'entre simplement xxx.ndd.fr sans préciser le port. J'ai essayé http://xxx.ndd.fr et https://xxx.ndd.fr et les deux fonctionnent lorsque la cible est en HTTPS dans le reverse proxy.

[oracle7]

@CyberFr

Bonjour,

Dont act ! mais je maintiens que ce n'est pas normal, tu ne devrais pas avoir besoin de mettre la cible du reverse proxy en https. Donc, comme je le disais le problème est sûrement ailleurs. A voir si un autre membre aura une idée car là je sèche ...

Cordialement

oracle7😉

[CyberFr]

il y a 1 minute, oracle7 a dit :

Dont act ! mais je maintiens que ce n'est pas normal, tu ne devrais pas avoir besoin de mettre la cible du reverse proxy en https.

J'ai même redémarré le NAS pour voir si tout rentrait dans l'ordre mais ce n'est pas le cas.

J'ai suivi le tuto à la lettre et ça ne m'a pas paru compliqué. Alors pourquoi ça ne marche pas vraiment ?

[Jeff777]

@CyberFr

Salut 

Est-ce que tu as vidé le cache de ton navigateur. Au besoin essaie avec un autre.

Et est-ce que tu as bien validé lorsque tu as décoché l'option redirection http vers https ?

Il y a 2 heures, CyberFr a dit :

Et là ça fonctionne, que je me connecte en HTTP ou HTTPS.

ça c'est curieux si le port 80 n'est pas ouvert dans le pare feu. A moins que tu te connectes localement

Modifié le 4 octobre 2021 par Jeff777

[CyberFr]

@Jeff777 Bonjour,

Je vide systématiquement le cache de Firefox avant de faire des essais. Je vais essayer avec un autre navigateur.

il y a 17 minutes, Jeff777 a dit :

ça c'est curieux si le port 80 n'est pas ouvert dans le pare feu. A moins que tu te connectes localement

Je me suis connecté localement et au travers du VPN, l'accès HTTP fonctionne. Les règles de contrôle d'accès interdisent les autres connexions.

[Jeff777]

il y a 3 minutes, CyberFr a dit :

Je me suis connecté localement et au travers du VPN, l'accès HTTP fonctionne. Les règles de contrôle d'accès interdisent les autres connexions.

OK

Au fait quel appli tu essaies d'atteindre ?

[CyberFr]

il y a 3 minutes, Jeff777 a dit :

Au fait quel appli tu essaies d'atteindre ?

J'essaie d'atteindre l'interface d'administration de DSM.

Décidément, je dois être chat noir 😵

[oracle7]

@CyberFr

Bonjour,

Si tu essaies d'atteindre DSM par le Reverse Proxy, il ne faut surtout pas employer d'URL du style : nomduNAS.ndd.fr, il te faut définir une redirection avec un autre nom, par exemple : dsm.ndd.fr ou toto.ndd.fr (enfin tout sauf le nom que tu as donné à ton NAS) sinon cela ne marche pas, et c'est du vécu !

Par ailleurs, pourquoi tu n'active pas le port 80 dans le pare-feu ? Sinon tu risques d'avoir des problèmes pour le renouvellement du certificat LE. Mais c'est toi qui voit ...

Cordialement

oracle7😉

Modifié le 4 octobre 2021 par oracle7

[CyberFr]

Bonjour @oracle7,

Par chance, car je ne le savais pas, je n'accède pas au reverse proxy par nonduNAS.ndd.fr.

Modifié le 4 octobre 2021 par CyberFr
J'active le port 80 avanr le renouvellement du certificat LE. Je vai l'ouvrir pour voir si ça change quelque chose.

[oracle7]

@CyberFr

Bonjour,

A tout hasard, essaies de réduire le niveau de compatibilité TLS/SSL de moderne à intermédiaire dans Sécurité / Avancés / Niveau de profil TLS/SSL / Paramètres avancés / Choisir l'application + Popup.

Cordialement

oracle7😉

[Jeff777]

Tu reprends point à point le Tuto du proxy inverse et tu devrais y arriver. Je pense à :

Paramétrage Webstation,

vérification de l'application du certificat sur ton  proxy inverse pour le DSM,

compatibilité port dans réseau/DSM  et ton proxy inverse

 

[CyberFr]

Il y a 14 heures, Jeff777 a dit :

vérification de l'application du certificat sur ton  proxy inverse pour le DSM,

Je n'ai pas d'erreur de connexion lié au certificat lorsque j'utilise le reverse proxy.

Il y a 14 heures, Jeff777 a dit :

compatibilité port dans réseau/DSM  et ton proxy inverse

Là je ne comprends pas bien.

[Jeff777]

il y a 1 minute, CyberFr a dit :

Là je ne comprends pas bien.

Dans le panneau de config/réseau/DSM le port indiqué correspond bien à celui que tu utilises pour le reverse proxy  (5000 par défaut ou autre si tu l'as changé)

[CyberFr]

Oui @Jeff777, le port défini dans Réseau > Paramètres de DSM est identique à celui défini dans le reverse proxy. C'est le port HTTPS qui figure dans le reverse proxy.

[Jeff777]

il y a 9 minutes, CyberFr a dit :

C'est le port HTTPS qui figure dans le reverse proxy.

Euh tu peux me dire comment est ton reverse proxy. Normalement du style      https://dsm.ndd:443 ==>http:// iplocalnas:port_http_dsm

 

Modifié le 5 octobre 2021 par Jeff777

[CyberFr]

il y a 1 minute, Jeff777 a dit :

Euh tu peux me dire comment est ton reverse proxy. Normalement du style      https://dsm.ndd:443 ==>http:// iplocalnas:port_http_dsm

Bingo !

Après avoir écrit :

il y a 11 minutes, CyberFr a dit :

C'est le port HTTPS qui figure dans le reverse proxy.

J'ai modifié le port utilisé dans le reverse proxy en remplaçant le port HTTPS par celui en HTTP et tout baigne 🤩

Bravo @Jeff777.

La seule chose qui reste est l'avertissement du Conseiller de sécurité parce que la redirection automatique de HTTP vers HTTPS pour le bureau de DSM est désactivée.

[Jeff777]

il y a 2 minutes, CyberFr a dit :

La seule chose qui reste est l'avertissement du Conseiller de sécurité parce que la redirection automatique de HTTP vers HTTPS pour le bureau de DSM est désactivée.

ça c'est pas grave. Si cela te gène tu peux faire en sorte que le Conseiller de sécurité n'en tienne pas compte.

Dans le Conseiller : avancé/personnaliser le liste de contrôle et tu exclues en décochant la redirection auto 😉

il y a 5 minutes, CyberFr a dit :

J'ai modifié le port utilisé dans le reverse proxy en remplaçant le port HTTPS par celui en HTTP et tout baigne

Si tu avais bien relu le tuto tu aurais trouvé tout seul 😁

Modifié le 5 octobre 2021 par Jeff777