Tuto HC2 Reverse Proxy Sur Nas Synology Avec Haproxy

[Lazer]

C'est l'inverse, c'est Xpenology (DSM) qui est dans une VM. Perso j'ai donc 2 Xpenology chez moi, avec 2 versions différentes. C'est tout l'intérêt de ma virtualisation. Cf le topic de Fredo.

Chez moi HAproxy tourne bien sur la dernière version de DSM 5.0 build 4493 update 3.

L'alternative hard (avec du soft, forcément) ça peut justement être un raspberry pi.

[drausin]

j'ai tester et ça ne marche pas. 

j'ai mon nom de domaine j'ai fait un lien 1 et un lien CNAME avec DSM dans le champ type cname et la cible mafreebox.

Sur ma freebox j'ai ouvert l'adresse ip de mon syno sur le port de destination 5080 et port ecoute à  80.

Sur mon HA Proxy j'ai suivi j'ai le http en enlevant le backend par défaut donc théoriquement peu importe ce que je met en sous domaine je devrais au moins être redirigé sur ma page dam ce qui n'est pas le cas.

 

As tu une idee stp

[drausin]

je crois avoir trouver c'est le temps de propagation des motif dns de mon fournisseur 1 a 24h a priori

[Lazer]

ah cool.

Effectivement, toujours tester avec la commande "ping" ou "nslookup" avant pour s'assurer que la résolution de nom fonctionne bien !

[drausin]

Dis moi je vois que dans ta configuration domaine tu déclares les sousdomaine en cname. Moi je l'ai fait et ça ne marche pas. L'hebergeur me dit que je peux créer des A au lieu des cname, qu'en penses tu ?

[Lazer]

Je ne suis pas un pro du réseau, mais les enregistrements A doivent correspondre àun hôte chacun :

1 nom = 1 adresse IP, et réciproquement.

A la maison, on n'a qu'une seule adresse IP, celle fournie par le FAI.

Donc en théorie on ne doit avoir qu'un seul enregistrement de type A.

Après tu peux tester et voir ce que ça donne avec plusieurs type A...

[drausin]

avec le A ça a l'air de fonctionner. Cependant sur mon tel j'ai installer File Station je l'ai configurer sous mon sinology. Quand je passe en wifi en tapant mon adresse localhost:(port de file station) cela marche par contre quand je passe par la 4g et que je met mon http://file.(domaine) il ne trouve rien et me dis de passer par quickconnect. sur le safari die mon tel jarrive bien a voir http://file.(domaine) et donc a l'utiliser mais pas avec les applis. Ta une idée?

[Lazer]

Drausin, j'ai du mal àsuivre, comment ça peut fonctionner depuis ton téléphone en Wifi en appelant localhost ??? Cela désigne le téléphone, et ça m'étonnerait que tu es installé un Reverse Proxy sur ton téléphone (encore qu'avec Android, tout est possible).

[drausin]

quand je dis localhost je parle de l'adresse de mon syno. j'écris l'adresse ip

[Lazer]

C'est quand même étrange, tu dois avoir un souci de configuration quelque part, parce que même les enregistrement DNS CNAME devraient fonctionner, ce qui est plus propre que tu mettre des A partout.

 

Question en passant : tu as quoi comme box ? Parce que certaines box (Livebox, ...) n'acceptent pas le reroutage depuis l'intérieur du réseau vers lui-même.

Avec les Freebox, aucun souci.

[drausin]

J'ai une freebox. J4ai un nom de domaine qu'on va appeler toto.fr et une adresse ip 12.12.12.12sur le port 80.

DU coté de mon héberger on me dit que le cname ne sert a rien j'ai déclarer par ex un cname 

 

photo

CNAME

toto.fr.

21600

Supprimer

 

Pour le créer j'ai mis un sous domaine à  Photo et un nom canonique à  photo.toto.fr et cela ne marche pas. SI je met en A cela marche mais pas quand je me sers de DS Photo. DS Photo d'ailleurs ne marche pas être pas a l'extérieur si on n'utilise pas le quick connect

[Lazer]

En fait, je me demande si le problème ne serait pas tout autre...

Je crois que DS Photo, c'est comme DS Vidéo, il y a une sorte de protection. Il faut que le numéro de série du Syno soit fixe. Donc si tu n'as pas modifié le numéro de série dans ton Nanoboot, ça pourrait expliquer pourquoi DS Photo ne fonctionne pas.

Je n'ai jamais essayé DS Photo, mais j'ai le problème avec DS Vidéo. Et comme je n'ai pas encore pris le temps de me pencher sur la modification du numéro de série, je n'ai pas de solution simple pour le moment....

[drausin]

ah c'est pt être ça enfin l'erreur n'est pas très explicite je t'avourais

[Lazer]

Si tu regardes les logs dans /var/log/... tu devrais trouver des messages d'erreur, et une recherche sur Google m'avait mis sur le voie de cette histoire de numéro de série. Certes, ce n'est pas explicite, mais ce n'est pas censé se produire dans un usage normal de DSM....

[drausin]

Personne a une idee? EN fait moi j'ai meme pas de connexion au serveur. j'ai l'impression que c'est le reverse engine. enfin mon adresse c'est file.domaine.com qui redirige vers ma box et après le reverse l'interprète et renvoi sur le port correcte mais avec le nom de domaine rien. N'est ce pas lié a ça?

[akhlan]

Bonjour,

 

quand je tape

 

http://dsm.nomnomdedomaine.ovh/ je tombe sur une page Synology

"Web Station a été activé. Pour terminer de configurer votre site web, consultez la section "Service Web" dans l'aide de DSM."

 

quand je tape

 

https://dsm.nomnomdedomaine.ovh

j'arrive bien sur mon syno

 

la redirection http vers https ne fonctionne plus avec HaProxy ?

Quand je l'active dans "Panneau de Configuration / Réseau / Paramètres de DSM", ça ne fonctionne pas

[Lazer]

https je ne sais pas, j'ai volontairement ignoré ce protocole (c'est bien précisé dans mon tutoriel).

 

Mais ça ne m'étonne pas que cela soit bloqué. HAproxy permet de faire plein de choses, dont sécuriser les serveurs qui sont derrière. Donc empêcher les redirections fait partie de la sécurité apportée.

A toi de configurer manuellement le reverse proxy avec des règles https si tu souhaites l'utiliser.

[satryany]

Pour ceux que ça intéressent j'ai une conf de photo station avec reverse proxy (avec une box numéricable) sur mon syno qui permet d'y accéder avec l'appli ds photo+.

Par contre j'utilise directement apache : 

 

<VirtualHost *:80>                                            

ServerName photo.domaine.fr                            

DocumentRoot /var/packages/PhotoStation/target/photo

Alias /photo  /var/packages/PhotoStation/target/photo 

<Directory "/var/packages/PhotoStation/target/photo"> 

Options Indexes MultiViews 

Options FollowSymLinks

AllowOverride None 

</Directory>

</VirtualHost> 

 

Par contre pas moyen par example de se connecter à  surveillance station avec ds cam que ce soit en http ou en https ....

[zeldoi5]

J'ai un soucis avec HA Proxy en adressant le DSM de ma VM Syno.

Bon, j'ai déjà  posté sur le post de Syno virtualisé sur ESXi ( http://www.domotique-fibaro.fr/index.php/topic/1277-nas-synology-dsm-5-sur-serveur-hp-n54l-vmware-esxi-55/page-24 ), mais ici, c'est peut être plus approprié...  (ne pas hésiter à  nettoyer mon précédent post).

 

Ma conf sur HA Proxy Syno en VM ne fonctionne pas

Backend :

Nom : dsm43

Serveurs : dsm43 localhost:5000 check

 

Association :

Frontend : https

Backend : dsm43

Condition : if { hdr_beg(Host) -i dsm43. }

 

Une idée ?

 

[Lazer]

Etrange, je ne saurais plus trop t'aider car je n'utilise plus HAproxy sous DSM, mais ça fonctionnait très bien quand je l'utilisais : DSM 4.3 dans une VM sous ESXi et HAProxy installé dessus. J’accédais sans souci à  dsm.mondomaine.com

Donc c'est bien faisable. Reste à  trouver le bon paramétrage, tu dois avoir une petite erreur quelque part.

 

Une idée en passant : je vois dans ta conf le port 5000, et https, alors que le https est normalement sur le port 5001.

[zeldoi5]

Merci lazer pour tes réponses

 

Ta remarque est intéressante, mais il est inutile de configurer le port 5001 (et d'utiliser HTTPS) entre HA Proxy et les applis du NAS

Ils en parlent sur le forum nas-forum : http://www.nas-forum.com/forum/topic/30548-haproxy-beta-de-la-theorie-a-la-pratique/page-6

 

J'ai une petite évolution : maintenant, j'ai au moins une erreur :

502 Bad Gateway

The server returned an invalid or incomplete response.

alors qu'avant je n'avais rien... mais bon je ne trouve toujours pas.

 

BOnne soirée

[zeldoi5]

Bon... après des semaines de vaines tentatives, je suis enfin arrivé à  résoudre mon problème!

 

Comment me direz vous ?

- Ben en décochant la cas "Rediriger automatiquement les connexions HTTP vers le HTTPS (exceptés Web Station et Photo Station) dans Panneau de configuration / Réseau / Paramètres de DSM" :

- Ben en faisant une boulette....j'ai cliqué par erreur sur "Recharger la configuration par défaut" dans HA Proxy --> sur le coup là , j'ai pesté, car j'ai dà» me retaper la vingtaine de backend/association

 

Bon, après une petite heure, tout est de nouveau fonctionnel

[Lazer]

Arf, c'est exactement ce que j'allais te proposer en lisant ta 1ère réponse , mais puisque tu as trouvé entre temps, c'est parfait

[baron.mathieu]

Bonjour,

 

j'utilise un VPN pour accéder à  mes équipements de l'extérieur, surement plus secure.

[Lazer]

Je n'ai pas mis en place le reverse proxy pour la sécurité.

Comme dis en première page, l'objectif est d'accéder à  mes équipements facilement depuis l'extérieur, surtout derrière les proxy un peu trop filtrants des entreprises. Et c'est aussi pour ça que j'utilise volontairement du http et non pas du https, car la plupart des proxy refusent les certificats autosignés (et j'ai pas envie de payer un certificat juste pour ça)

 

Le VPN c'est un usage complètement différent du reverse proxy, ce n'est pas comparable.

J'en utilise aussi un pour accéder aux équipements internes de mon réseau, mais le VPN est bloqué dans la majeure partie des entreprises. A moins d'avoir un VPN SSL sur https avec certificat signé par une autorité de certification de confiance....

 

EDIT : Et un rappel ne fait pas de mal : à  l'origine, un VPN ne sert pas à  faire de la sécurité, mais à  se connecter à  un réseau distant..... d'où son nom : Virtual Private Network. Il se trouve qu'aujourd'hui la plupart des tunnels VPN sont chiffrés, donc cela apporte de la sécurité (pour peu qu'il n'y ai pas une faille dans le protocole, et que l'on utilise bien une authentification forte pour la connexion).