reverse proxy : fonctionement aléatoire

[wanabo]

Bonjour,

Je cherche l'origine d'un problème qui est apparu il y a quelques semaines et je m'arrache les cheveux à comprendre pourquoi.

Mon problème :

Les sites web hébergés chez moi renvoient une erreur de site inaccessible de façon aléatoire.

Ma config :

Routeur Syno 2600AC redirige les ports 443 et 80 vers un nas Syno DS218 (7.2.1) (cf cap2.png). Sur le routeur, le NAT passthrough n'est pas configuré ni la DMZ)

Le NAS est configuré dans reverse proxy et renvoi les requêtes sur différentes machines virtuelles gérées par un PC qui fait tourner proxmox. (le parefeu du NAS est désactivé)

Ainsi j'ai un nom de domaine auprès d'infomaniak avec plusieurs sous domaine. Tous les sous domaines sont présentes dans la zone DNS et renvoi vers mon IP publique.

Domaine : stemaga.fr

Exemple de sous domaine : jeedom.stemaga.fr ou  encore yuno.stemaga.fr

Le certificat SSL du domaine est géré par le NAS et tous les sous-domaines sont bien déclarés et bien orientés.

Sur la page reverse proxy du NAS, je renvoie chaque sous domaine vers la machine locale correspondante.

Exemple : cap1.png

Ainsi, je vous invite à tester les sites sités et constater que parfois ça passe et souvent ça passe pas.

Je n'arrive pas à comprendre pourquoi.

Qu'est ce que je peux vérifier ? J'ai tenté pleins de choses mais sans résultats (changement de registrar et de domaine, ajout des websocket dans le reverse proxy,...)

Merci grandement pour l'aide que vous voudrez bien m'apporter !!

 

Modifié le 18 décembre 2023 par wanabo

[Jeff777]

@wanabo

S'il y a quelque chose à masquer dans ton message ce n'est certainement pas tes adresses locales en 192.168.xx.xx mais plutôt ton nom de domaine.

Il y a 10 heures, wanabo a dit :

Ainsi, je vous invite à tester les sites sités et constater que parfois ça passe et souvent ça passe pas.

Chez moi ça ne passe pas.

Décoche déjà HSTS qui n'est pas configuré pour ton domaine.

Edit : aussi,  il doit y avoir une erreur dans ta zone DNS. 

Modifié le 19 décembre 2023 par Jeff777

[PiwiLAbruti]

La destination ne répond pas dans les 30 secondes imparties (ERR_CONNECTION_TIMED_OUT).

Un nmap -Pn -sS -p 443 domain.tld sur la destination indique que le port 443 n'est pas joignable. Plusieurs hypothèses :

• L'adresse IPv4 publique a changé.
• Le port 443 est déjà utilisé par la box pour son interface de gestion (à modifier si c'est le cas).
• Le port 443 n'est pas redirigé vers le bon hôte depuis la box/routeur.
• Un pare-feu bloque l'accès aux ports nécessaires sur le routeur (443), sur le NAS (443), ou sur la destination finale configurée dans le reverse proxy (80).
• La box ne supporte pas le loopback. Ce n'est pas un problème si le domaine name.domain.tld est résolu en l'adresse IP privée du NAS en local.

Ce qui reste dérangeant, c'est que ça semble fonctionner de temps en temps (j'ai arrêté après un 12aine d'essais infructueux).

il y a 55 minutes, Jeff777 a dit :

Edit : aussi,  il doit y avoir une erreur dans ta zone DNS.

Quelle erreur ?

[Jeff777]

il y a 5 minutes, PiwiLAbruti a dit :

Quelle erreur ?

Non finalement, c'est moi l'erreur.

 

[Mike913]

Bonjour,

Quel sont tes réglages dans WebStation ?

[wanabo]

Il y a 6 heures, Jeff777 a dit :

@wanabo

S'il y a quelque chose à masquer dans ton message ce n'est certainement pas tes adresses locales en 192.168.xx.xx mais plutôt ton nom de domaine.

Décoche déjà HSTS qui n'est pas configuré pour ton domaine.

Bonjour à tous,

Merci infiniment de prendre quelques minutes pour essayer de comprendre mon cas.  Je vais essayer de répondre aux questions le mieux que je peux.

Je ne cache pas le nom de domaine car justement j'aimerai bien que les gens se connecte sur mon blog par exemple !

Il y a 4 heures, PiwiLAbruti a dit :

La destination ne répond pas dans les 30 secondes imparties (ERR_CONNECTION_TIMED_OUT).

Un nmap -Pn -sS -p 443 domain.tld sur la destination indique que le port 443 n'est pas joignable. Plusieurs hypothèses :

• L'adresse IPv4 publique a changé.
• Le port 443 est déjà utilisé par la box pour son interface de gestion (à modifier si c'est le cas).
• Le port 443 n'est pas redirigé vers le bon hôte depuis la box/routeur.
• Un pare-feu bloque l'accès aux ports nécessaires sur le routeur (443), sur le NAS (443), ou sur la destination finale configurée dans le reverse proxy (80).
• La box ne supporte pas le loopback. Ce n'est pas un problème si le domaine name.domain.tld est résolu en l'adresse IP privée du NAS en local.

Ce qui reste dérangeant, c'est que ça semble fonctionner de temps en temps (j'ai arrêté après un 12aine d'essais infructueux).

L'adresse IPV4 est fixe et fourni par mon FAI. Elle n'a pas bougé depuis un moment.

Je n'ai pas de box. Mon routeur syno fait office de box ou en tout cas est reconnu comme tel. Le port 443 est bien envoyé vers le bon device puisque le serveur est accessible de temps à autre.

Les pare feu sont désactivés sur le routeur et sur le NAS.

Je ne sais plus trop ce qu'est le loopback. le domaine revoie avers l'adresse IP locale selon les règles du reverse proxy.

Je confirme que cela fonctionne de temps à autre. J'ai ce souci depuis plusieurs semaines mais c'est de pire en pire et très pénible. Je ne comprends ce que j'ai changé ou modifié pour que cela fonctionne moins bien. Je n'ai pas réussi à déterminer la modification que j'ai faite.

 

Il y a 4 heures, Mike913 a dit :

Bonjour,

Quel sont tes réglages dans WebStation ?

En PJ. Je n'ai rien modifié. Je me connecte à DSM uniquement en local.

Je joints ma config reseau sur le nas.

Je viens de décocher les cases jaunes dans les réglage avancés. J'ai l'impression que c'est beaucoup mieux !! Ces cases étaient cochées par défaut(je ne pense pas avoir  jamais regardé la dedans). Je ne comprends pas trop es différentes options. L'une d'entre elles semble avoir réglé le problème.

 

[Mike913]

Si tu n'as rien modifié dans webstation c'est pour cela que çà  fonctionne mal.

Dans Webstation il faut configurer services Web puis portail Web.

Le portail de connexion ne sert que pour les Applications  et le proxy inversé pour modifier un accès, par exemple j'ai domoticz sur un Raspberry et j(utilise le proxy inversé pour rediriger le flux sur le raspberry.

 

Modifié le 19 décembre 2023 par Mike913

[wanabo]

Il y a 2 heures, Mike913 a dit :

Dans Webstation il faut configurer services Web puis portail Web.

Le portail de connexion ne sert que pour les Applications  et le proxy inversé pour modifier un accès, par exemple j'ai domoticz sur un Raspberry et j(utilise le proxy inversé pour rediriger le flux sur le raspberry.

 

En fait je me rends compte que je n'utilise pas webstation. Je me disais que cette appli m'était inconnue.

Mon site n'est pas hébergé sur le NAS mais sur une machine virtuelle.

[Jeff777]

@wanabo

C'est particulier ton utilisation. Pourquoi ne pas héberger les sites sur le nas directement ?

J'ai réussi à m'affranchir d'un phénomène aléatoire de reverses proxies en déclarant mes nas comme proxies fiables (panneau de config/sécurité/séccurité en bas de cet onglet). 192.168.0.x/32

Mais sans garantie pour ton cas.

[wanabo]

@Jeff777

Merci pour cette proposition. Je viens de le faire. Merci.

Les accès sont assez lents mais au moins cela fonctionne. Merci beaucoup

[Jeff777]

@wanabo

Pour info j'avais mis tout le réseau local IPV4 et IPV6 et les adresses IPv4 et IPV6( préfixe) publiques de mon domaine. Mais visiblement ce n'est pas nécessaire.

Si tu as encore un problème tu peux rajouter l'IPV4 publique de ton domaine (je crois que tu n'utilises pas les IPV6).

[wanabo]

J'ai rajouté mon IPV4.

Je croyais que ca fonctionnait mieux mais je vois que c'est toujours aléatoire.....Grrrr !

[wanabo]

J'ai ouvert la DMZ sur mon routeur, depuis  les choses se sont vraiment améliorée.... Etrange.. ??

[Jeff777]

Le 27/12/2023 à 1:25 PM, wanabo a dit :

J'ai ouvert la DMZ sur mon routeur, depuis  les choses se sont vraiment améliorée

Problème de redirection de port ?