Bonjour,

Tout est dans le Titre ...

J'essaie de fermer tous les ports que je peux fermer et d'envoyer le trafic sur une URL du reverse proxy en 443.

J'ai donc créé une entrée du reverse proxy sur https://ss.DDNS:443 qui pointe vers https://localhost:9901.

ça fonctionne (DSCam se connecte bien). Mais les flux vidéo mettent une trentaine de secondes à apparaitre, contre env. 10 secondes auparavant.

Une relation de cause à effet ?

Essaie d'activer les websocket dans les en-têtes personnalisées.

Cela me dépasse un peu ...

Je mets quoi ?

ça peut être ?

Oui

Merci ...

Je dirai que ce n'est pas mieux ...

Toutefois, j'ai une caméra concomitamment (et sans rapport) hors service. Serait-il en attente d'un TimeOut sur cette caméra avant d'envoyer les flux (DSCam mouline puis tout d'un coup affiche mes 7 flux (enfin 6 depuis qu'une caméra est HS)) ?

Modifié jeudi à 16:562 j par StéphanH

J’ai essayé de remettre le 9901 : pas mieux …

J’ai réparé ma caméra HS : pas mieux

Je manque d’idée ..

Je ne crois pas que le reverse proxy soit la source de ton problème.

Est-ce que tu as bien spécifié le port dans DSCam ? Même si tu utilises le 443, il faut le préciser dans les applications DS.

https:\\cam.ndd:443

Merci Mic13710

Je ne vois pas trop de différence en précisant le port 443

Pourrait-il y avoir un effet de bord de la fermeture du 9901 sur la box distance (j’agrège des caméras de trois sites, donc 3 NAS, dont l’un via un VPN.

Je n’ai rien touché dans le VPN. Normalement, le 9901 y est toujours ouvert. Le Firewall est ok.

Modifié hier à 11:031 j par StéphanH

Si tu ne précises pas le port, l'application DS Cam utilise le port par défaut : 9901.
Ton ndd est normalement liée à ton IP publique. Donc, en ne mettant pas le 443, DS utilise par défaut https:\\cam.ndd:9901. Comme le port est ouvert dans ton routeur, il est normal que ça fonctionne.
Et par la même occasion, tu ne passes pas par le reverse proxy ce qui exclu de facto toute probabilité de ralentissement de sa part 😀

Je me suis mal exprimé

Le 9901 est bien fermé. Je l’ai réouvert temporairement pour vérifier si cela avait un impact sur le délai d’affichage des flux, ce qui n’est pas le cas

Sur DSCam, une connexion à l’URL du reverse proxy sans préciser le port 443 abouti, même 9901 fermé

Concernant mon dernier message, il faisait référence à des flux que j’affiche sur dSCam et qui proviennent d’un autre NAS connecté en VPN au premier (les flux vidéo passent par ce VPN)

Le reverse proxy ne serait donc pas à l'origine des lenteurs.

Saurais-tu reproduire les conditions dans lesquelles les flux apparaissaient au bout de 10 secondes ?

Est-ce que le port tcp/5001 est exposé sur Internet ? Si oui, il faudra songer à le fermer rapidement.

Dans le reverse proxy il est inutile de mettre la redirection en https car tu es en local sur le NAS et la requette externe est déjà chiffrée.
Il suffit d'ouvrir le port 9900 dans le portail des applications et de mettre https://ddns.443 vers http://localhost:9900

Modifié il y a 12 heures12 h par Thierry94

Il y a 12 heures, PiwiLAbruti a dit :

Est-ce que le port tcp/5001 est exposé sur Internet ? Si oui, il faudra songer à le fermer rapidement.

il l’était … il fait partie des ports que j’ai fermé.

Je vais dans le doute tester sa réouverture le temps de faire un test.

Il y a 5 heures, Thierry94 a dit :

Dans le reverse proxy il est inutile de mettre la redirection en https car tu es en local sur le NAS et la requette externe est déjà chiffrée.

exact ! Merci .

[EDIT]

The winner is @Thierry94 !!!

Le fait de modifier la règle du proxy inverse sur le port http 9900 au lieu du 9901 en https rend à DSCam sa rapidité d’avant !

J’ai du mal à comprendre pourquoi … À noter qu’auparavant, j’étais en direct sur 9901. Il semble que ce soit le fait de déchiffrer le 443 pour le rechiffrer en 9901 qui consomme.

Modifié il y a 6 heures6 h par StéphanH

Il y a 1 heure, StéphanH a dit :

Le fait de modifier la règle du proxy inverse sur le port http 9900 au lieu du 9901 en https rend à DSCam sa rapidité d’avant !

Rien d'étonnant. Déchiffrer puis re-chiffrer pour re-déchiffrer ça demande des ressources.

Sauf si ton réseau local n'est pas sur, il ne sert à rien de passer en https en interne. Tout ceci est expliqué dans le tuto sur le reverse proxy.

Il y a 18 heures, StéphanH a dit :

Sur DSCam, une connexion à l’URL du reverse proxy sans préciser le port 443 abouti, même 9901 fermé

Alors ça a changé car jusqu'à présent les applications DS utilisaient le port de l'application par défaut. Si le port était différent, il fallait le préciser dans l'url. Et du coup, je me demande comment l'application DS sait qu'il faut passer par le 443 si le port n'est pas précisé. Peut-être que les deux sont testés : si le port par défaut ne passe pas, alors DS bascule sur le 443 (ou le 80 si http).

Je n’avais vu cet aspect du tuto concernant l’inutilité du chiffrage sur le LAN. Même si c’est évident, je ne pensais pas que cela modifierait à ce point le délai de réponse de DSCam.

Par extension, je m’interroge sur le 5001, désormais fermé. Y a-t-il des effets de bord à envoyer le reverse proxy sur le 5000 ? Sauf erreur de ma part, je n’ai rien vu à ce sujet dans le tutoriel. Faut il décocher la redirection http vers https ?

Modifié il y a 1 heure1 h par StéphanH

Oui il faut decocher la redirection http vers https car elle perturbe le reverse proxy.

Pour l'acces à dsm (5000 ou 5001) il est préférable de ne pas l'exposer sur internet. meme derrière le reverse proxy. mais passer par un vpn.

Si j'ai bonne mémoire, il est dit dans le tuto de ne pas activer le http vers le https car cela pose (posait) des problèmes de redirection dans le reverse proxy. Je crois que c'est aussi dans ce même tuto qu'on parle d'un fichier .htaccess pour réaliser cette redirection.

Mais comme les choses évoluent entre chaque version de DSM, il est possible que ce dysfonctionnement ait été résolu par Synology.

il y a 45 minutes, StéphanH a dit :

Par extension, je m’interroge sur le 5001, désormais fermé. Y a-t-il des effets de bord à envoyer le reverse proxy sur le 5000 ?

Je ne comprends pas bien ta question. Si tu veux utiliser le reverse proxy pour joindre DSM, tu peux par exemple créer une ligne https:\\nas.ndd qui pointe vers localhost:5000. Perso, je ne suis pas friand d'un accès à DSM par le web. Aussi, j'ai rajouté un profil de contrôle d'accès limité aux seules IP privées et en secours à un nombre très limité d'adresses publiques que je possède. Je fais un accès à distance via wireguard sur mon routeur pour ensuite me connecter à DSM.