Tuto HC2 Reverse Proxy Sur Nas Synology Avec Haproxy

[Zorgonaute84]

En ce qui me concerne le stockage mon NAS n'héberge que du fichiers Multimédia du coup ça me va très bien... ;-)

Envoyé de mon iPhone en utilisant Tapatalk

[Zorgonaute84]

J'ai une petite connection concernant le reverse proxy et nos box.

 

Est-ce que quelqu'un a réussi a se connecter a sa HomeCenter via un reverse proxy en https et depuis l'application ?

 

Pour ma part j'ai créer une redirection https://homecenter.mondomaine.com vers le port 80 de ma box Fibaro. Cette redirection fonctionne très bien depuis un navigateur, mais impossible de s'y connecter depuis l'app iOS...

 

J'ai essayé en entrant dans l'adresse serveur https://...... aucun résultat, j'ai tenté de rajouter :443 a la fin, sans amélioration... Ma seul solution aujourd'hui est d'avoir une redirection https pour mes connections depuis un navigateur mais de conserver la redirection sur le port 80 pour mes connections depuis l'app...

 

Si vous avez une idée, je suis preneur !

[nasp]

Ça marche pour moi dans les 2 cas en interne et en externe. La contrainte est qu'il y ai une résolution de nom différente en interne et externe (le même nom se résoud en 2 ip différente : 1 interne et 1 externe en fonction de où tu te connecte).

[Lazer]

@Zorgonaute84 les applis smartphone ne supportent pas le https

 

Donc à  l'heure actuelle, tu ne peux faire du https que depuis un navigateur Web en passant par ton reverse proxy.

[Zorgonaute84]

Seul videostation et camstation ne fonctionnent pas en https.

Il suffit de rajouter :443 àla fin de l'adresse du serveur et de cocher l'option qui va bien.

Envoyé de mon iPhone en utilisant Tapatalk

[Lazer]

Euh attention, moi je parlais des applications Fibaro qui ne fonctionnent pas en https ! En réponse à  ta question initiale

 

Bien sur que les applis Synology DS* fonctionnent en https (j'ai un doute pour DSCam et DSvideo, mais si tu le dis je veux bien te croire)

[Zorgonaute84]

Ah pardon ! Effectivement, l'application Fibaro ne fonctionne pas en HTTPS, par contre, aucun soucis pour y acceder de manière sécurisé via un navigateur.

 

Désole pour l'incompréhension...

 

Pour VideoStation, tu peux te connecter en https, cela fonctionne, mais c'est le flux vidéo qui ne fonctionne pas.

Pour CamStation, il me semble que c'est la meme chose.

[jojo]

bonjour les amis,

Je déterre ce sujet, car j'ai un soucis avec la configuration de HAproxy. J'espère que vous pourrez m'aider ...

 

Ma config :

- HAproxy 1.8 sur Debian 9.6 sous Esxi 6.5.0

- Surveillance Station 8.0.3.--5159 sous DSM 6.2-23739 Update 2

N.B. je n'utilise pas le reverse Proxy intégré de DSM, car je trouve que celui de HAproxy sous Debian est plus configurable.

 

Mon soucis :

Sous SS, je ne vois pas les caméras avec l'image en direct : 

Voici un snapshot pris ce 22 avril à 11:24.

Et on voit que l'image est du 21 avril à 17:54 (horodatée sur l'image)

N.B. : si je me connecte en local IP directement, pas de soucis; idem lorsque j'utilisais le reverse proxy intégré de Synology

 

Voici ma config haproxy.cfg

##############################################################
### global ###
##############################################################

global
	maxconn 10
	log /dev/log	local0
	log /dev/log	local1 notice
	chroot /var/lib/haproxy
	stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
	stats timeout 30s
	user haproxy
	group haproxy
	daemon

	# Default SSL material locations
	ca-base /etc/ssl/certs
	crt-base /etc/ssl/private

	# Default ciphers to use on SSL-enabled listening sockets.
	# For more information, see ciphers(1SSL). This list is from:
	#  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
	# An alternative list with additional directives can be obtained from
	#  https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=haproxy
	ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
	ssl-default-bind-options no-sslv3

##############################################################
### defaults ###
##############################################################

defaults
	log	global
	# 21/04/2019
	maxconn 10
	mode	http
	option	httplog
	option  httpchk
	option  forwardfor except 127.0.0.1
	# 21/04/2019
	option	dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
	errorfile 400 /etc/haproxy/errors/400.http
	errorfile 403 /etc/haproxy/errors/403.http
	errorfile 408 /etc/haproxy/errors/408.http
	errorfile 500 /etc/haproxy/errors/500.http
	errorfile 502 /etc/haproxy/errors/502.http
	errorfile 503 /etc/haproxy/errors/503.http
	errorfile 504 /etc/haproxy/errors/504.http

##############################################################
### frontends ###
##############################################################

frontend http
	bind 0.0.0.0:80
	# on redirige de manière permanente pour mondomaine.tld tout ce qui est en http vers du https
	acl http hdr_end(host) mondomaine.tld
	redirect scheme https code 301 if !{ ssl_fc } http
	
frontend https
	bind 0.0.0.0:443 ssl crt /etc/haproxy/cert/ no-sslv3

	acl ss hdr(host) ss.mondomaine.tld
	use_backend ss if ss

	default_backend NotExist

##############################################################
### backends ###
##############################################################

backend ss
	http-request add-header X-Forwarded-Proto https if { ssl_fc }
 	server web-server1 IPLocalSyno:PortSS

backend NotExist
	http-request deny
 

D'avance merci pour votre aide

[nasp]

J’utilise haproxy via docker en mode bridgé. J’utilise la version 1.7.5. Je ne l’ai pas utilisé avec surveillance station.

[Lazer]

Je me souviens maintenant, pour Surveillance Station il a fallu que j'ajoute spécifiquement le port 443 dans la redirection.

Je m'en suis rendu compte en regardant les logs de HAProxy où j'ai constaté que les URL appelées par DSCam se faisaient jeter.

 

Je ne suis pas certain de la syntaxe pour ton fichier car j'ai configuré différemment chez moi, alors voici ce que je te propose :

 

frontend https
	...

	use_backend ss if { hdr(host) ss.mondomaine.tld }
	use_backend ss if { hdr(host) ss.mondomaine.tld:443 }

	...

 

[jojo]

Merci dieu, j'ai rajouté le port dans mon cal, et c'est ok.

Quand j'y pense, c'est +/- "logique", car le frontend vérifie si l'url précisée correspond exactement. Or, il faut préciser le port 443 dans l'application Androïd, donc il est logique qu'il faille la préciser dans le contenu de l'ail

=> MMEERRCCII

Modifié le 23 avril 2019 par jojo

[jojo]

aux champions du HAproxy.

je voudrais rediriger

https://photos.mondomaine.ltd

vers

http://IPNas/photo/

 

J'ai réussi à faire que cela fonction sur le LAN, mais pas en dehors => parfaitement inutile.

des idées ou exile de config chez vous ?

[nasp]

Ce n’est pas possible avec haproxy mais c’est possible normalement avec les options des applications de dsm6.

[jojo]

merci, mais je ne vois pas de quelle options tu parles

[nasp]

Je viens de vérifier et dans la dernière version de Dsm l’option a été supprimée. C’était dans le panneau de configuration -> portail des applications. Avant il y avait une option pour définir un alias de photo station comme photo.mon-domaine.tld. Vu que photo station est voué à disparaître au profit de moments ils ont supprimé la possibilité de le faire.


Envoyé de mon iPhone en utilisant Tapatalk

[nasp]

Il reste une solution qui consiste à créer un virtual host dans web station et de mettre un script index.php dans la racine du site qui fait une redirection vers http://NAS/photos.

 

Une autre solution est de mettre à la racine de ce virtual host un fichier .htaccess et de l’utiliser des directives de mod_rewrite pour aiguiller toutes requested vers http://NAS/photos.

 

Envoyé de mon iPhone en utilisant Tapatalk

 

[jojo]

Merci pour tes recherches et ces infos. 

Je devrais donc installer moments? J'espère qu'il y a une App pour mobile 

[nasp]

Oui il y a une appli mobile pour moments. Et tu peux définir une url du type http://moments.mondomaine.tld dans les réglages des applications comme on peut le faire pour audio station, videostation et les autres applications Synology.

[jojo]

Merci, je vais donc passer à moments, vu que c'est le futur 

[Nico]

Hello. Qqun aurait un paquet HAProxy qui fonctionne correctement sur DSM 6.2 ? J'ai téléchargé le 1.5.15-20, il s'installe, se lance, fonctionne je dirai car quand on va sur l'interface Web en direct, on a des données. Par contre quand on lance le paquet, cela reste en chargement à l'infini sur le 1er onglet et les autres sont tous vides, il manque même la config par défaut.

 

Merci.

[Nico]

Re. Problème réglé, je suis partie directement sur le ReverseProxy intégré dans DSM, plus simple et plus facile à maintenir du coup.

[jojo]

https://www.nas-forum.com/forum/topic/39737-tuto-haproxy-et-regroupement-des-param/?_fromLogin=1

[Nico]

Merci Jojo. En fin de ton lien, pareil, cela ne fonctionnait pour plus la plupart en DSM6.2.

Mais moi cela me va bien d'être sur du natif DSM, j'ai complétement retiré HA du coup.

[jojo]

perso, j'ai une VM dédiée à HA sous Debian et exsi de mon Gen8

 

[nasp]

Bonjour,

 

Je l'ai installé sur mon UDM Pro via podman avant il était sur mon NAS Synology car j'utilise quelques fonctions non dispo dans le package de Synology. Principalement la génération de certificats Letsencrypt qui nécessite quelques modifications de règles.