proxy inversé

[Darkangel]

Bonjour

je ne sais pas si je suis sur le bon forum et m'en excuse par avance

Je te tente de mettre en place une regle de proxy inversé et cela ne fonctionnant pas je pense que je fais quelque chose de pas correct

- Je choisis protocole HTTPS

- dans le nom d'hôte je spécifie mon domaine synology / 'monnas'.synology.me

- port j'ai mis 443

- j'ai activé HSTS

et enfin dans la destination j'ai indiqué l'ip du service vers lequel lié

protocole: Http

nom d'hote: l'ip locale

Port: port local du service

 

dois je etre plus precis dans un des champs

par ailleurs je dois aussi et pense ouvrir le port 443 dans mon routeur mais ici il n'agit plus d'une redirection de port donc je dois mettre ca ou?

ps: je n'ai pas le champ pour activer HTTP/2 

merci par avance

 

 

 

 

Modifié le 17 novembre 2021 par Darkangel

[oracle7]

@Darkangel

Bonjour,

Si tu utilises un domaine en xxxx.synology.me alors :

xxxx.synology.me doit correspondre à ton @IP externe via le DDNS et cela doit être le nom d'hôte dans " Accès externe > Avancés ".

Vérifies que :

• Depuis ton PC, un ping xxxx.synology.me --> te renvoie bien ton @IP externe (celle de ta box)
• Dans un terminal SSH via PuTTY ou WinSCP, sous user root que nslookup xxxx.synology.me 8.8.8.8 --> doit aussi te renvoyer ton @IP externe.

Si tout est OK alors tu peux continuer, sinon il te faut impérativement résoudre ces problèmes avant d'aller plus loin.

• Il te faut avoir créer un certificat LE pour ce domaine ainsi que pour son wilcard "*.xxxx.synology.me" (dans autre nom de l'objet).
• Sur ta box il faut que les ports 80 et 443 soient transférés (NAT) vers ton NAS.
• Sur ton NAS dans le pare-feu les ports 80 (pour le renouvellement du certificat) et 443 ainsi que 5000 et 5001 doivent être ouverts/autorisés à tous.
• Ensuite, pour atteindre une application/service du NAS via le Reverse Proxy, dans les régles que tu crées, il te faut utiliser des noms de domaines tels que par ex "files.xxxx.synology.me" pour atteindre FileStation, "dsm.xxxx.synology.me" pour atteindre l'interface DSM du NAS (dsm ou toto ou yyyy car si tu mets le nom du NAS cela ne marchera pas), "aliasAppliService.xxxx.synology.me" de façon générale.
• Enfin pour destination, tu mets effectivement HTTP, localhost (pour les applications hébergées sur le NAS sinon une @IP pour une autre machine : second NAS par ex), et le port le l'application (7000 pour FileStation, 5000 pour le NAS, etc ...)

Attention avec le HSTS, car avec cette option tes navigateurs Web n'accepteront plus que des URL en HTTPS, donc à faire en connaissance de cause. De plus si activé une fois et même désactivé ensuite cela reste activé et c'est assez difficile (mais pas impossible) de revenir en arrière.

Cordialement

oracle7😉

[Darkangel]

merci pour ce retour bien argumenté

je n'ai plus qu'a tout lire et faire en ce sens

merci 

[oracle7]

@Darkangel

Bonjour,

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

[Darkangel]

Re bonjour, @oracle7

Vérification effectuée et ok ca renvoi bien mon ip externe

ok pour un créer un certificats let's encrypt pour mon nom de domaine xxxx.synology.me mais on parle bien du domaine globale et pas du sous-domaine ?
Par contre je ne comprends pas ainsi que pour son wilcard, je ne vois pas du tout à quoi cela correspond pour être honnête...

je le créé en parallèle du certificat de synology ? donc deux certificats en parallèle à déclarer sur le nas?

pour mon routeur et mon ip local de serveur étant 192.168.1.10 j'ai donc fait ceci

cependant j'indique que le sous domaine que je vise n'a pas la même adresse ip (dans une VM) en l'occurrence il me faudrait pointer vers 192.168.1.40 dans mon cas je présume. A toutes fins utiles le proxy inversé que je mets en place est pour accéder a une machine virtuelle sur mon nas 

Citation

Ensuite, pour atteindre une application/service du NAS via le Reverse Proxy, dans les régles que tu crées, il te faut utiliser des noms de domaines tels que par ex "files.xxxx.synology.me" pour atteindre FileStation, "dsm.xxxx.synology.me" pour atteindre l'interface DSM du NAS (dsm ou toto ou yyyy car si tu mets le nom du NAS cela ne marchera pas), "aliasAppliService.xxxx.synology.me" de façon générale.

justement c'est bien là qu'est mon problème . du coup je dois déclarer quoi?

 

merci pour votre aide car je tourne en rond avec ca

 

en fait je viens d'y arriver sans créer de certificat à ce stade

je pointe vers mon xxx.synology.me en https et cela fonctionne mais cepandant j'ai eu la premiere fois une demande concernant un certificat mais depuis plus rien en m'y connectant

 

Modifié le 17 novembre 2021 par Darkangel

[oracle7]

@Darkangel

Bonjour,

il y a 36 minutes, Darkangel a dit :

ok pour un créer un certificats let's encrypt pour mon nom de domaine xxxx.synology.me mais on parle bien du domaine globale et pas du sous-domaine ?

Ton domaine est "xxxxx.synology.me" et tes sous-domaines seront en "yyyy.xxxxx.synology.me".

Donc le SEUL certificat à créer est pour le domaine "xxxxx.synology.me" et son wilcard "*.xxxxx.synology.me" qui couvrira lui tous les sous-domaines "yyyy.xxxxx.synology.me".

Dans le Reverse Proxy pour atteindre ta VM tu crées une règle : https://vm.xxxxx.synology.me 443 http/2 --> http://@IPlocaleVM:port.

il y a 41 minutes, Darkangel a dit :

je pointe vers mon xxx.synology.me en https et cela fonctionne mais cepandant j'ai eu la premiere fois une demande concernant un certificat mais depuis plus rien en m'y connectant

Normal ton navigateur a voulu vérifier qu'il existait bien un certificat valide pour xxx.synology.me et comme il n'en existait pas, il t'a envoyé une alerte de sécurité disant que ta connexion n'était pas fiable. Tu es passé outre (ce qui n'est pas bien  car si tu fais cela avec d'autres sites, tu cours vers les ennuis) et tu as autorisé la connexion. Ce qui marche effectivement mais sans aucune sécurité. Il te faut impérativement créer ce certificat LE pour protéger tes connexions avec tes sous-domaines.

Cordialement

oracle7😉

[Darkangel]

@oracle7

 

bon via le nas j'ai donc créer le certificat LE de mon domaine xxxx.synology.me

dans mon reserve proxy par contre le port que j'ai indiqué en local est 80 et non le port de la VM mais pourtant cela fonctionne..

[oracle7]

@Darkangel

Bonjour,

D'autres membres plus compétents que moi en VM (je n'en utilise pas) pourront confirmer ou non mais pour moi cela me paraît normal que ce soit le port 80, mais je peux me tromper.

Cordialement

oracle7😉

[Darkangel]

@oracle7

 

merci en tout cas pour votre aide!

 

[oracle7]

@Darkangel

You're welcome 😀

[Darkangel]

Bonjour @oracle7

Désolé, je reviens à la charge mais bien que j'ai crée le certificat let's encrypt pour mon domaine quand je me connecte à distance à monservice.xxx.synology.me cela fonctionne mais j'ai toujours une erreur de certificat qui me demande de confirmation l'accès car cela ne semble pas protégé bien qu'en https

une idée de ce que je dois corriger svp?

[.Shad.]

Est-ce que sur DSM dans Panneau de configuration -> Sécurité -> Certificat -> Configurer (Paramètre sur DSM 7) tu t'es assuré d'associer les services du NAS au bon certificat ?

Tu peux aussi vérifier sur ton navigateur en cliquant sur le petit cadenas (barré sûrement dans ton cas), que le certificat correspond au nom de domaine que tu souhaites atteindre ? Car si tu associes par exemple le certificat auto-signé par défaut de Synology à ton nom de domaine Synology, ça ne peut pas marcher. 🙂 

Modifié le 18 novembre 2021 par .Shad.

[Darkangel]

@.Shad.

 

Merci en effet il suffisait de changer le certificat attribué par défaut à mon sous domaine qui était sur celui de synology et non LE./

maintenant certificat valide 

 

merci!