Aller au contenu

reverse proxy : fonctionement aléatoire

wanabo

Par wanabo
dans Installation, Démarrage et Configuration

 Partager

Messages recommandés

wanabo Rookie

wanabo

Posté(e)
Posté(e) (modifié)

Bonjour,

Je cherche l'origine d'un problème qui est apparu il y a quelques semaines et je m'arrache les cheveux à comprendre pourquoi.

Mon problème :

Les sites web hébergés chez moi renvoient une erreur de site inaccessible de façon aléatoire.

Ma config :

Routeur Syno 2600AC redirige les ports 443 et 80 vers un nas Syno DS218 (7.2.1) (cf cap2.png). Sur le routeur, le NAT passthrough n'est pas configuré ni la DMZ)

Le NAS est configuré dans reverse proxy et renvoi les requêtes sur différentes machines virtuelles gérées par un PC qui fait tourner proxmox. (le parefeu du NAS est désactivé)

Ainsi j'ai un nom de domaine auprès d'infomaniak avec plusieurs sous domaine. Tous les sous domaines sont présentes dans la zone DNS et renvoi vers mon IP publique.

Domaine : stemaga.fr

Exemple de sous domaine : jeedom.stemaga.fr ou  encore yuno.stemaga.fr

Le certificat SSL du domaine est géré par le NAS et tous les sous-domaines sont bien déclarés et bien orientés.

Sur la page reverse proxy du NAS, je renvoie chaque sous domaine vers la machine locale correspondante.

Exemple : cap1.png

Ainsi, je vous invite à tester les sites sités et constater que parfois ça passe et souvent ça passe pas.

Je n'arrive pas à comprendre pourquoi.

Qu'est ce que je peux vérifier ? J'ai tenté pleins de choses mais sans résultats (changement de registrar et de domaine, ajout des websocket dans le reverse proxy,...)

Merci grandement pour l'aide que vous voudrez bien m'apporter !!

 

cap1.png

cap2.png

Modifié par wanabo
0
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e) (modifié)

@wanabo

S'il y a quelque chose à masquer dans ton message ce n'est certainement pas tes adresses locales en 192.168.xx.xx mais plutôt ton nom de domaine.

Il y a 10 heures, wanabo a dit :

Ainsi, je vous invite à tester les sites sités et constater que parfois ça passe et souvent ça passe pas.

Chez moi ça ne passe pas.

Décoche déjà HSTS qui n'est pas configuré pour ton domaine.

Edit : aussi,  il doit y avoir une erreur dans ta zone DNS. 

Modifié par Jeff777
0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

La destination ne répond pas dans les 30 secondes imparties (ERR_CONNECTION_TIMED_OUT).

Un nmap -Pn -sS -p 443 domain.tld sur la destination indique que le port 443 n'est pas joignable. Plusieurs hypothèses :

  • L'adresse IPv4 publique a changé.
  • Le port 443 est déjà utilisé par la box pour son interface de gestion (à modifier si c'est le cas).
  • Le port 443 n'est pas redirigé vers le bon hôte depuis la box/routeur.
  • Un pare-feu bloque l'accès aux ports nécessaires sur le routeur (443), sur le NAS (443), ou sur la destination finale configurée dans le reverse proxy (80).
  • La box ne supporte pas le loopback. Ce n'est pas un problème si le domaine name.domain.tld est résolu en l'adresse IP privée du NAS en local.

Ce qui reste dérangeant, c'est que ça semble fonctionner de temps en temps (j'ai arrêté après un 12aine d'essais infructueux).

il y a 55 minutes, Jeff777 a dit :

Edit : aussi,  il doit y avoir une erreur dans ta zone DNS.

Quelle erreur ?

0
wanabo Rookie

wanabo

Posté(e)
  • Auteur
Posté(e)
Il y a 6 heures, Jeff777 a dit :

@wanabo

S'il y a quelque chose à masquer dans ton message ce n'est certainement pas tes adresses locales en 192.168.xx.xx mais plutôt ton nom de domaine.

Décoche déjà HSTS qui n'est pas configuré pour ton domaine.

Bonjour à tous,

Merci infiniment de prendre quelques minutes pour essayer de comprendre mon cas.  Je vais essayer de répondre aux questions le mieux que je peux.

Je ne cache pas le nom de domaine car justement j'aimerai bien que les gens se connecte sur mon blog par exemple !

Il y a 4 heures, PiwiLAbruti a dit :

La destination ne répond pas dans les 30 secondes imparties (ERR_CONNECTION_TIMED_OUT).

Un nmap -Pn -sS -p 443 domain.tld sur la destination indique que le port 443 n'est pas joignable. Plusieurs hypothèses :

  • L'adresse IPv4 publique a changé.
  • Le port 443 est déjà utilisé par la box pour son interface de gestion (à modifier si c'est le cas).
  • Le port 443 n'est pas redirigé vers le bon hôte depuis la box/routeur.
  • Un pare-feu bloque l'accès aux ports nécessaires sur le routeur (443), sur le NAS (443), ou sur la destination finale configurée dans le reverse proxy (80).
  • La box ne supporte pas le loopback. Ce n'est pas un problème si le domaine name.domain.tld est résolu en l'adresse IP privée du NAS en local.

Ce qui reste dérangeant, c'est que ça semble fonctionner de temps en temps (j'ai arrêté après un 12aine d'essais infructueux).

L'adresse IPV4 est fixe et fourni par mon FAI. Elle n'a pas bougé depuis un moment.

Je n'ai pas de box. Mon routeur syno fait office de box ou en tout cas est reconnu comme tel. Le port 443 est bien envoyé vers le bon device puisque le serveur est accessible de temps à autre.

Les pare feu sont désactivés sur le routeur et sur le NAS.

Je ne sais plus trop ce qu'est le loopback. le domaine revoie avers l'adresse IP locale selon les règles du reverse proxy.

Je confirme que cela fonctionne de temps à autre. J'ai ce souci depuis plusieurs semaines mais c'est de pire en pire et très pénible. Je ne comprends ce que j'ai changé ou modifié pour que cela fonctionne moins bien. Je n'ai pas réussi à déterminer la modification que j'ai faite.

 

Il y a 4 heures, Mike913 a dit :

Bonjour,

Quel sont tes réglages dans WebStation ?

En PJ. Je n'ai rien modifié. Je me connecte à DSM uniquement en local.

Je joints ma config reseau sur le nas.

Je viens de décocher les cases jaunes dans les réglage avancés. J'ai l'impression que c'est beaucoup mieux !! Ces cases étaient cochées par défaut(je ne pense pas avoir  jamais regardé la dedans). Je ne comprends pas trop es différentes options. L'une d'entre elles semble avoir réglé le problème.

 

parefeu.png

parefeu2.png

dsm.png

reseau.png

avancé.png

0
Mike913 Contributor

Mike913

Posté(e)
Posté(e) (modifié)

Si tu n'as rien modifié dans webstation c'est pour cela que çà  fonctionne mal.

Dans Webstation il faut configurer services Web puis portail Web.

Le portail de connexion ne sert que pour les Applications  et le proxy inversé pour modifier un accès, par exemple j'ai domoticz sur un Raspberry et j(utilise le proxy inversé pour rediriger le flux sur le raspberry.

 

Modifié par Mike913
0
wanabo Rookie

wanabo

Posté(e)
  • Auteur
Posté(e)
Il y a 2 heures, Mike913 a dit :

Dans Webstation il faut configurer services Web puis portail Web.

Le portail de connexion ne sert que pour les Applications  et le proxy inversé pour modifier un accès, par exemple j'ai domoticz sur un Raspberry et j(utilise le proxy inversé pour rediriger le flux sur le raspberry.

 

En fait je me rends compte que je n'utilise pas webstation. Je me disais que cette appli m'était inconnue.

Mon site n'est pas hébergé sur le NAS mais sur une machine virtuelle.

0
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

@wanabo

C'est particulier ton utilisation. Pourquoi ne pas héberger les sites sur le nas directement ?

J'ai réussi à m'affranchir d'un phénomène aléatoire de reverses proxies en déclarant mes nas comme proxies fiables (panneau de config/sécurité/séccurité en bas de cet onglet). 192.168.0.x/32

Mais sans garantie pour ton cas.

0
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

@wanabo

Pour info j'avais mis tout le réseau local IPV4 et IPV6 et les adresses IPv4 et IPV6( préfixe) publiques de mon domaine. Mais visiblement ce n'est pas nécessaire.

Si tu as encore un problème tu peux rajouter l'IPV4 publique de ton domaine (je crois que tu n'utilises pas les IPV6).

0
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)
Le 27/12/2023 à 1:25 PM, wanabo a dit :

J'ai ouvert la DMZ sur mon routeur, depuis  les choses se sont vraiment améliorée

Problème de redirection de port ?

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.