Tuto HC2 Reverse Proxy Sur Nas Synology Avec Haproxy

[ksar]

Bonjour,

 

Je ne sais pas si intéresse quelqu'un mais au cas ou!

 

J'ai un NAS fait maison à  base de debian.

Je me sert du mod_proxy d'apache pour avoir accès à  l'interface de ma HCL depuis l’extérieur avec un lien du style http://mon_ndd/hcl/

 

Voici la conf apache2 :

ProxyRequests Off
ProxyPreserveHost On

<Proxy *>
    Require all granted
</Proxy>

ProxyHTMLLinks  a               href
ProxyHTMLLinks  area            href
ProxyHTMLLinks  link            href
ProxyHTMLLinks  img             src longdesc usemap
ProxyHTMLLinks  object          classid codebase data usemap
ProxyHTMLLinks  q               cite
ProxyHTMLLinks  blockquote      cite
ProxyHTMLLinks  ins             cite
ProxyHTMLLinks  del             cite
ProxyHTMLLinks  form            action
ProxyHTMLLinks  input           src usemap
ProxyHTMLLinks  head            profile
ProxyHTMLLinks  base            href
ProxyHTMLLinks  script          src for
ProxyHTMLLinks  iframe          src

ProxyHTMLEvents onclick ondblclick onmousedown onmouseup \
                onmouseover onmousemove onmouseout onkeypress \
                onkeydown onkeyup onfocus onblur onload \
                onunload onsubmit onreset onselect onchange

#Accés HCL
ProxyPass /hcl/ http://192.168.1.100/'>http://192.168.1.100/
ProxyPassReverse /hcl/ http://192.168.1.100/'>http://192.168.1.100/
ProxyHTMLURLMap http://192.168.1.100 /hcl
RewriteRule ^/hcl$ /hcl/ [R]

<Location /hcl/>
       Require all granted
        ProxyHTMLEnable On                               
        ProxyHTMLExtended on
        ProxyPassReverse /
        ProxyHTMLCharsetOut *
        ProxyHTMLURLMap url\(/([^\)]*)\) url(/hcl/$1) Rihe
        ProxyHTMLURLMap ^/(.*) /hcl/$1 R
        # convert URLs in CSS and JS
        ProxyHTMLURLMap "'/fibaro" "'/hcl/fibaro"
        # convert URLs in CSS and JS
        ProxyHTMLURLMap "\"/" "\"/hcl/"
        RequestHeader unset Accept-Encoding

        AddOutputFilterByType SUBSTITUTE text/css
        AddOutputFilterByType SUBSTITUTE text/javascript
        Substitute s+/fibaro+/hcl/fibaro+n
        Substitute s+/api/+/hcl/api/+n
        Substitute s+/services/+/hcl/services/+n
</Location>

192.168.1.100 est l'IP de ma HCL.

 

@++

[Lazer]

Ah ouais quand même, c'est pas simple

 

Merci pour le partage

[ksar]

Enfaîte j'ai voulu un peu m’embêter 

ça marche beaucoup plus simplement si on veut une adresse en http://hcl.mon_ndd.com/

Mais moi je voulais un http://mon_ndd.com/hcl/ et comme l'appli php de fibaro est bourré d'url pas vraiment relatives (commençant par /) il faut récrire toutes les url dans la réponse de la HCL ^^

 

@++

[juke94]

j'utilise haproxy depuis quelques temps déjà  et tout fonctionne nickel pour moi, DS CAM notamment !

Je peux expliquer ma conf si certain galère encore... 

[Steven]

Ce tuto m'a été très utile   Merci beaucoup

[Lazer]

Steven, t'as osé mettre un NAS chez toi ?

[Steven]

Et oui... Je suis un faible

[mprinfo]

Je sais pas ce qu il a Steven en ce moment ? On dirai que le ralentissement de la hc2 le contamine lol

Envoyé avec mon SmartPhone

[Steven]

J'en tremble encore, de savoir qu'il y a un truc énergivore à  la maison ... brrrrrr ... ça fait peur le nom "énergivore" ... on dirait un monstre qui va vous croquer durant votre sommeil   

[Lazer]

 

T'as pris quoi du coup ?

 

PS : la HC2 avec ses 13W est énergivore aussi, malgré sa taille compacte.

[mprinfo]

Une solution a ton problème

1 vélo avec une génératrice

Vu que tu as 3 monstres ça les calmerai lol

Par contre evite le verre de rouge pour augmenter la production électrique mdr

Envoyé avec mon SmartPhone

[Steven]

Madame a pris une DS214play ... et oui, c'est Madame qui veux faire du cloud local

 

Pour le vélo, l'équipement est tout prêt mais j'attends que les enfants aillent 8 ans pour ne pas être dans l'illégalité

[mprinfo]

Meme pas un proliant ? Dommage j'aurais pu t'aider àle configurer mdr

Envoyé avec mon SmartPhone

[Steven]

Tu sais que j'ai commencé ma carrière chez HP ? 

 

Un proliant c'est du 43W au repos alors que le DS214play c'est 13W au repos et 20W en utilisation .. je calcule cela juste pour savoir à  quel fréquence les enfants vont devoir pédaler  .

 

J'ai déjà  quelques scénarios en tête : Quand j'allume la TV, cela allume le local ou se trouve le vélo, ainsi les enfants savent qu'ils doivent commencer à  pédaler ... c'est si je veux regarder un film stocker sur le NAS.

 

 

Par contre, Synology c'est du Linux et pour moi Linux, c'est 5 lettres qui ne veulent rien dire   J'ai du chercher hier pendant 1 heure pour savoir comment ajouter un chemin dans le PATH et surtout comment le stocker dans mon profile. Je sens que je vais en baver. 

[mprinfo]

Lazer et un pro en linux tu es comme moi tu as choisi dos plutôt que linux

Envoyé avec mon SmartPhone

[Lazer]

Je ne suis pas pro en Linux, pour mon utilisation Linux ça sert surtout àjouer (geekerie).

Pour le côté pro, mon truc c'est plutôt UNIX (surtout AIX). Dommage que les Unix soient en voie de disparition, c'est quand même moins bidouillé/bricolé que Linux.

Bon heureusement pour Linux on trouve des tonnes de tutos sur le net, donc on arrive toujours àses fins.

[nasp]

pour les certificats non autosignés j'utilise cacert.org mais il y a un inconvénient il faut installer le root cert pour ne pas avoir de message d'erreur.

[Zorgonaute84]

Bonjour à  tous,

 

A noter une information importante a ce sujet !

 

Actuellement Synology test la version "release candidate" de DSM 6 qui apporte un gros lot de nouveauté sur ce point.

 

La première nouveauté est l'intégration native d'un reverse proxy. Ils n'est donc plus nécessaire d'utiliser HAProxy. D'autant que la configuration de ce reverse proxy est encore plus simple !

 

Deuxième grosse nouveauté, DSM 6 intègre la génération de certificat Let's Encrypt ! C'est à  dire qu'il est possible d'obtenir de vrai certificat SSL gratuitement pour tous nos domaines et sous-domaines. Il est donc ainsi possible de se connecter de manière sécurisé via le reverse proxy a tous les services et périphériques configurés. Le certificat étant signé par un organisme reconnu, aucun soucis pour tous les navigateurs et les proxy d'entreprise !

 

Tout est extrêmement simple, mais si il y a de la demande, je peux rédiger un petit tuto a ce sujet.

 

PS : DSM 6 est toujours en beta test, et cette version peut contenir quelques bugs. Sont installation est a vos risques et périls et tout retour a une version antérieur est impossible.

 

PS² : A noter que Synology n'est pas Fibaro... Je vous laisser méditer sur le sujet et en tirer les conclusions sur les risques d'installer cette version... ;-)

[Zorgonaute84]

Attention toutefois pour nos Fibaro il est indispensable de conserver la version non sécurisé car celle en https ne fonctionne pas via l'application. En tout cas je n'ai pas réussi...

Envoyé de mon iPhone en utilisant Tapatalk

[Shad]

Le truc c'est que je ne trouve pas très secure le fait d'utiliser l'espace de stockage comme reverse proxy.

Il n'y a que moi que sa choque mdr ?

[Lazer]

C'est toujours plus secure que d'exposer tous les services (Diskstation, HC2, caméras, etc) en direct sur le net.

 

Mais dans l'absolu je suis d'accord, c'est pour cela que je n'utilise plus HAProxy sur DSM depuis longtemps. J'ai une VM Debian dédiée à  ce seul usage. A terme cette VM sera dans un VLAN isolé (=DMZ) avec firewall afin que si le reverse proxy est corrompu, aucun rebond ne soit possible.

[nasp]

J'ai déporté cette fonction ainsi que Dns externe sur un pi.

[Lazer]

Sur un PI ça fonctionne bien, malgré la faible puissance CPU ?

 

J'avais des problèmes sur mon HP N54L, quand je faisais du reverse proxy vers la HC2, car lors du chargement de l'interface il y a plusieurs 10zaines de connexions simultanées. Parfois l'interface web n'arrivais jamais à  se charger totalement. Il faut dire que j'ai un accès ADSL pourri avec un upload très bas, donc ça n'aide pas.

Depuis que j'ai basculé HAproxy sur mon G8 avec un Xeon, je n'ai plus de problème (c'est long à  charger, mais ça ne plante pas)

[Shad]

Ok on est bien d'accord lazer ^^.

Pareil, VM dans un vlan sous débian avec apache2. (Rien compris àHAProxy mdr).

[nasp]

Actuellement ça tourne sur pi b+ mais j'ai prévu de passer sur un pi 3 bientôt. Ça fonctionne bien. Dessus j'ai aussi un tunnel ssh entrant quand je suis pas àla maison et un proxy squid qui est utilisé via le ssh entrant lors de mes déplacements.

Envoyé de mon SM-N9005 en utilisant Tapatalk