accés l'interface synology derriere un reverse proxy (swag)

[jericho63]

Bonjour a tous,

jusqu’à présent j’accédais a l'interface de mon nas synology et a surveillance station depuis l’extérieur via le reverse proxy docker swag installé sur une autre machine ca marchait pas trop mal.

Depuis quelque temps (je pense depuis la maj de dsm en 7.2) j'ai remarqué que l'appli surveillance station sur mon mobile avait du mal a afficher le flux des cameras (fermeture et réouverture multiple pour que ça marche) .

Hier je me suis aperçu que je ne pouvais plus me connecter au nas si je passe via le proxy. la page s'affiche mais une fois les identifiants saisis ça tourne en rond. pas d'erreur , juste ça tourne dans le vide. (La connexion a surveillance station via l'appli fonctionne toujours elle malgré les problème d’affichage de flux)

voici la conf de reverse proxy

upstream nas {
  server       xxx.xxx.xxx.xxx:5000;
}
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name   nas.example.fr;
    include /config/nginx/ssl.conf;
    client_max_body_size 0;

    if ($lan-ip = yes) { set $geo-whitelist yes; }
    if ($geo-whitelist = no) { return 404; }
    location / {


      include /config/nginx/proxy.conf;
      include /config/nginx/resolver.conf;

      proxy_pass  http://nas;

      proxy_buffering off;
     proxy_set_header X-Forwarded-Port $server_port;
      proxy_cookie_path / "/; HTTPOnly; Secure";
      proxy_set_header Authorization $http_authorization;
      proxy_pass_header Authorization;


      


  }
}

merci d'avance pour votre aide.

cordialement

 

[MilesTEG1]

Hello,
Moi j'ai ceci : (j'utilise aussi le mod maxmind) 

## Version 2023/02/05
# make sure that your dns has a cname set for <container_name> and that your <container_name> container is not using a base url
# Note for DSM Applications (Package)
# As SWAG is installed in macvlan mode, you have to set the virtual IP for $upstream_app
#       set $upstream_app 192.168.2.230

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name dsm.*;

    include /config/nginx/ssl.conf;

    client_max_body_size 0;

    # enable for ldap auth (requires ldap-location.conf in the location block)
    #include /config/nginx/ldap-server.conf;

    # enable for Authelia (requires authelia-location.conf in the location block)
    #include /config/nginx/authelia-server.conf;

    # enable for Authentik (requires authentik-location.conf in the location block)
    #include /config/nginx/authentik-server.conf;

    # GeoIP Blocking with Maxmind Docker-MOD
    include /config/nginx/maxmind-geoblock_and_LAN.conf;
    
    # Restrict access to some IPs only (LAN & VPNs)
    include /config/nginx/ACL.IP-LAN.conf;

    location / {
        # enable the next two lines for http auth
        #auth_basic "Restricted";
        #auth_basic_user_file /config/nginx/.htpasswd;

        # enable for ldap auth (requires ldap-server.conf in the server block)
        #include /config/nginx/ldap-location.conf;

        # enable for Authelia (requires authelia-server.conf in the server block)
        #include /config/nginx/authelia-location.conf;

        # enable for Authentik (requires authentik-server.conf in the server block)
        #include /config/nginx/authentik-location.conf;

        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;

        set $upstream_app 192.168.2.230;
        set $upstream_port 5412;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;
        
    }
}

Enfin, les deux fichiers includes sont :

• /config/nginx/maxmind-geoblock_and_LAN.conf;

  # # Version 2022/08/21 - File to be included in all site-confs/*.conf files for SWAG-Nginx
  
  if ($lan-ip = yes) { set $geo-whitelist yes; }
  if ($geo-whitelist = no) { return 404; }

• /config/nginx/ACL.IP-LAN.conf;

  ## ACL.IP-LAN.conf
  # For my Synology DSM, I created an Access Control Profiles to restrict access only to LAN and VPN IP adresses
  # This Access Control Profile is a file in the /etc/nginx/conf.d folder
  # But for SWAG-Nginx, it must be with another file.
  
  # Allow all from LAN IPs
  allow 192.168.2.0/24;
  
  # Allow all from VPNs IPs
  allow 192.168.10.0/24;
  allow 192.168.11.0/24;
  
  # Deny all
  deny all;

Précision : mon SWAG est en macvlan, j'utilise donc une interface virtuelle (voir un des tuto de @.Shad.à ce sujet) qui est 192.168.2.230. Elle permet au conteneur de communiquer avec le NAS.

[jericho63]

@MilesTEG1

hello,

C'est une conf fourni par linuxserver.io ou c'est quel que chose que tu as adapté?

j'ai rien vu dans ce qu'ils proposent ou alors ca m'a pas sauté aux yeux.

Citation

Précision : mon SWAG est en macvlan, j'utilise donc une interface virtuelle (voir un des tuto de @.Shad.à ce sujet) qui est 192.168.2.230. Elle permet au conteneur de communiquer avec le NAS.

qu'est ce que tu veux dire ça permet de au conteneur de communiquer avec le nas? ton swag tourne sur ton nas? ou sur un autre serveur?

merci

[MilesTEG1]

il y a 10 minutes, jericho63 a dit :

C'est une conf fourni par linuxserver.io ou c'est quel que chose que tu as adapté?

Alors c’est adaptée des modèles fournis et ça fonctionne très bien.

il y a 11 minutes, jericho63 a dit :

qu'est ce que tu veux dire ça permet de au conteneur de communiquer avec le nas? ton swag tourne sur ton nas? ou sur un autre serveur?

Mon conteneur swag est installé en macvlan pour bénéficier de sa propre iP et de tous les ports qui vont avec.

et le conteneur en macvlan ne peut plus communiquer avec le nas et inversement.

il faut passer par une iP virtuelle.

 

[jericho63]

@MilesTEG1 donc ton conteneur swag tourne sur ton nas? dans mon cas mon swag tourne sur une vm héberger sur un hôte différent.

quel est l'interet de passer par du macvlan?

Sinon j'ai refais mon fichier de config et l'accés refonctionne de nouveau.

par contre toujours des problèmes pour afficher les flux des cameras dans l'appli surveillance station. je comprends pas pourquoi...

[MilesTEG1]

@jericho63 Oui le conteneur tourne sur le NAS lui-même.
Et comme sur ce NAS je ne peux pas utiliser le port 443 que Synology squatte alégrement... j'ai besoin d'une IP dédiée avec ce port 443 libre -> macvlan
 

@.Shad. est l'expert là-dedans 🙂

 

[.Shad.]

Salut @jericho63 est-ce que tu as bien les entêtes liés aux websockets dans le fichier proxy.conf ?

Je parle de :

proxy_set_header Connection $connection_upgrade;
proxy_set_header Upgrade $http_upgrade;

Si ton fichier proxy.conf est vieux, ne pas hésiter à le supprimer, SWAG le retéléchargera au redémarrage du conteneur.

D'ailleurs, tu peux vérifier dans les logs au démarrage de SWAG quels sont les fichiers ayant subi des modifications par rapport à la dernière version disponible.

 

[MilesTEG1]

@.Shad. Ha bien vu le proxy.conf. Je n'y ai pas pensé.
Donc +1 avec ta remarque.

[jericho63]

salut @.Shad. oui c'est bon proxy.conf est bien a jour.

Je sui reparti d'un installation vierge il y a quelque jours, pour être sur que tout soit a jour, sur laquelle j'ai réappliqué toutes les confs.

j'ai remis a jour également les fichiers de confs proxy de chacun de mes services.

Tous refonctionne , même l’accès a l'interface du nas grâce à @MilesTEG1.

La seule chose qui continue a "déconner" c'est le chargement des flux vidéos dans l'appli surveillance station sur smartphone (2 différents)

[.Shad.]

Habituellement le problème dont tu parles est connu pour être lié à l'activation des websockets dans les conf Nginx.

Définis un port personnalisé pour Surveillance Station via le portail des applications dans DSM. Puis crée une entrée de proxy inversé vers Surveillance Station directement (donc tu copies ton fichier conf, juste tu changes le port de DSM par celui de Surveillance Station et tu changes aussi le sous-domaine d'accès évidemment).

Modifié le 30 juin 2023 par .Shad.

[jericho63]

hello @.Shad.

je test ça ce soir et je te dis.

merci

[jericho63]

Hello  @.Shad.,

a priori ça a l'air de mieux marcher depuis que j'ai fait la modification hier soir.

Mais ça a quand même tourné dans le vide une fois.

je vais voir dans les jours a venir comment ça se comporte.

merci

[jericho63]

hello @.Shad.

après quelques jours d’utilisation c'est pas encore ça en fait.

le flux ne se charge pas correctement une fois sur deux, je suis obligé de fermer complétement l'application et de la rouvrir pour que ça marche..

est ce qu'il peut y avoir autre chose?

 

[jericho63]

Bonsoir,

je rencontre de nouveau des soucis avec l’accès de mon surveillance station via mon reverse proxy swag.

Je n'ai pas fait de modif dans swag et les fichiers de conf sont a jour.

la seule modif est la maj de surveillance station ce weekend.

j'ai remarqué que si je me connecte a surveillance station en direct (via l'ip) sur mon lan, je n'ai pas de soucis mais dés que je passe via le reverse proxy (via un sous domaine dédié)  j'ai un débit haché , ça monte a 2Mbps avant de redescendre a 500Kbps puis 200 puis rien et ça recommence.

mon reverse est sur une vm dédiée, par sur le nas, et je n'avais pas de soucis avant la maj de surveillance station.

une idée?

merci