Switch CISCO L3 et Reverse Proxy

[Nico]

@mprinfo, je suis sur DSM5, donc pas de souci. Et sur le 6 je passerai sur celui intégré qui est top, si je peux virer HAProxy, je le fais. J'ai pour objectif la simplification de tout ici, il faut que tout devienne WAF. Le NAS en fait partie, c'est pour cela que Exit Xpenology. Et la gamme RS me fait de l'œil là, de plus en plus, surtout depuis que j'ai raté l'intercom dimanche.

[mprinfo]

Parce que c'est clic clic clic

 

Plus sérieusement je tourne sous xpenology pour le moment cela fonctionne plutôt bien. Par contre cela devient de plus en plus compliqué pour faire les mises à jour. Sous dsm 5 il n'y avait aucun soucis on avait tout comme un vrai syno. Sous dsm 6 on perd quelques fonctionnalités comme vidéo station etc... Bon on peut contourner le problème. Si on veut passer en ds918 il faut un cpu récent sinon cela ne fonctionne pas même sous ESXi. Que va nous réserver dsm 7 ? Donc j'utilise peux de paquets synology. Lorsque je peux avoir une solution sous Linux je préfère l'utiliser. Je sais déjà que si xpenology ne fonctionne plus sur mon gen8 j'utiliserai certainement freenas pour faire du partage de fichiers. J'utilise Surveillance Station pour ma caméra mais si je devais en avoir plusieurs je prendrais plus facilement un NVR plutôt que d'acheter des licences. Donc dsm c'est très bien, sous xpenology c'est encore pas mal mais pour combien de temps...

[mention=133]lazer[/mention] j'ai lu les tuto FR et EN mais je comprends pas trop le principe des frondend

 

Envoyé de mon BLA-L29 en utilisant Tapatalk

 

 

 

 

 

 

 

 

 

 

[Nico]

Un NVR je peux t'en trouver un si tu veux.

[mprinfo]

@nico je n'ai qu'une caméra qui tourne sans faire aucun enregistrement j'aurais pris un factice ça aurait été pareil

Je ne suis pas fan de ce genre d'objet je trouve même que l'on est trop filmer à mon goût

 

Une mise à jour unifi.apk en 2.0

 

http://reepje123.store.aptoide.com/app/market/com.ubnt.easyunifi/20000122/43050675/UniFi

 

Alors que sur le playstore on est en 1.75

 

Envoyé de mon BLA-L29 en utilisant Tapatalk

 

 

 

 

[BenjyNet]

@Nico j'ai un pote qui a un RSjesaispluscombien avec 12 disques je crois et j'espère que t'aimes le bruit parce que c'est hallucinant le bruit qu'il fait. T'entends même pas le switch CISCO et l'onduleur ! Après, c'est une belle bête.

[Nico]

J'ai déjà plusieurs RS au boulot, et le dernier que j'ai pris c'est la nouvelle gamme, , et j'hésite entre :

-RS818+ (45 W, 28db) 4 baies

-RS1219+ (109W, 37db) 8 baies

La grosses différence c'est donc les baies (Mais on peut ajouter au 818 une baie sup de 4 disques) et le fait qu'on puisse mettre un SSD M2 dans le 1219 (Mais qu'on peut aussi ajouter dans le 818 en option avec une carte sup).

 

Ensuite niveau bruit cela ne me dérange pas, il est dans ma baie dans un local dans le garage. Aujourd'hui mon onduleur 5000Va Eaton couvre de toute façon tout le reste

 

Pascal, je lisais que tu pensais prendre un NVR, c'est pour ça, j'en ai un qui traine je crois au boulot, si jamais.

[mprinfo]

Je viens de migrer du reverse proxy dsm à haproxy sous debian. Pour le moment en http. Il faut que je regarde pour un certificat lets encrypt. Pour faire du https c'est simple une fois que l'on a comprit haproxy mais ça peu vite devenir compliqué si on a l'esprit tordu

Envoyé de mon BLA-L29 en utilisant Tapatalk

[Nico]

Tu t'ennuies Pascal en ce moment ? Je dis ça, mais j'ai un peu de carrelage à finir...

[mprinfo]

Non je bidouille réseau les soir en ce moment. Vu le temps il n'y a pas grand chose à faire. Ce we si il gele j'irais faire du bois. Mais je suis à jour un niveau entretien vergers donc je bidouille un peu

Envoyé de mon BLA-L29 en utilisant Tapatalk

[Lazer]

@mprinfo pour ton problème d'accès à Unifi Controler derrière un reverse proxy, voici un extrait de ma config :

 

frontend ft_https
	...
	acl is_unifi hdr(host) unifi.domaine.tld
	use_backend unifi  if is_unifi
	...

...
backend unifi
	mode http
	server unifi 1.2.3.4:8443 check maxconn 32 ssl verify none

 

[mprinfo]

@lazer merci je vais testé après avoir fini mon detapissage cool

Hier j'ai testé sans haproxy juste en ouvrant un port j'ai eu la même erreur
Le certificat ssl est bien sur haproxy ?

Envoyé de mon BLA-L29 en utilisant Tapatalk

[mprinfo]

@lazer ok c'est bon cela fonctionne un grand merci a toi

 

j'ai modifié

server unifi 192.168.1.201:8443

 

par

server unifi 192.168.1.201:8443 check maxconn 32 ssl verify none

 

voici mon backend qui fonctionne

backend backendunifi
    mode http
    option httpchk
    option forwardfor except 127.0.0.1
    http-request add-header X-Forwarded-Proto https if { ssl_fc }
    server unifi 192.168.1.201:8443 check maxconn 32 ssl verify none

après avoir fais cela bien entendu

service haproxy restart

[Lazer]

C'était dont le "ssl verify none" qu'il te manquait, car HAproxy n'aimait pas le certificat autosigné du contrôleur Unifi.

[pepite]

Hehe excelkent banckend, fait troo mauvais pour que tu bosses dehors :-) alors tu bidouilles :-)
Bien que ce ne soit pas de la bidouille :-) c'est du sérieux HAPROXY

Envoyé de mon BND-L21 en utilisant Tapatalk

[mprinfo]

Oui c'était juste cela. Encore merci. C'est vraiment top haproxy. Par contre j'ai eu la même chose qu'en j'ai essayé en ouvrant un port sur mon routeur j'ai pas trop compris pourquoi

 

Envoyé de mon BLA-L29 en utilisant Tapatalk

 

 

 

 

[Lazer]

Bah c'est normal, à cause du certificat autosigné

[Lazer]

Bon bah moi j'ai enfin pris le temps de sécuriser mon Reverse Proxy.... donc j'en ai maintenant 2 !

Un sur chaque serveur.
Avec une adresse IP virtuelle entre les 2, donc ils fonctionnent en actif/passif, avec bascule automatique.

 

Vu que la VM fait aussi serveur OpenVPN, du coup par la même occasion ça le sécurise aussi

 

Là ça commence à être ultra-geek

[mprinfo]

Un tuto
Non je déconne il faut déjà que je gère les bases du reseau

Envoyé de mon BLA-L29 en utilisant Tapatalk

[Lazer]

Ouais là je suis pas sûr du tout de faire un tuto, c'est carrément complexe.

Enfin pas l'adresse IP virtuelle IP seule, ça c'est simple.

C'est l'usine à gaz que j'ai mis en place qui est complexe..... sur la même VM, il y a Keepalived pour faire l'adresse IP virtuelle (protocole VRRP), puis SSLH pour splitter le HTTPS et OpenVPN sur le même port 443, puis HAProxy pour faire le reverse proxy, puis Apache qui est configuré comme un reverse proxy (ça fait donc 2 reverse proxy sur la même machine, vous suivez...) afin de faire Firewall Applicatif Web (=WAF (messieurs rien à voir avec vos femmes) analyse des requêtes HTTP avec mod_security)

 

Ah et puis aussi, tant qu'à faire, HAProxy fait aussi reverse proxy pour les requêtes MySQL entre le serveur Web en DMZ et la base de données MariaDB sur le Synology en LAN interne

 

Je vais faire un schéma.....

 

Mais ce qui est fou dans tout ça, c'est que ça fonctionne.

Reboot d'un serveur, même le VPN bascule automatiquement sur le 2nd serveur... donc je peux bosser à distance

 

 

[BenjyNet]

Ouch ! Là je suis largué grave 

[Lazer]

Voilà un schéma logique de mon réseau, on voit bien les différents VLANs autour du routeur principal (Ubiquiti EdgeRouter)

Il s'agit bien d'un schéma logique, en faisant abstraction du matériel. Puisqu'un même switch peut héberger plusieurs VLANs, tandis que d'autres VLANs sont totalement virtuels (notamment ceux dédiés aux VPN)

Le LAN semble tout petit sur ce schéma, pourtant c'est bien lui le plus gros qui accueille tous les équipements.

 

Ce que ce schéma fait apparaitre, c'est que rien ne peut rentrer en direct du WAN vers le LAN (enfin normalement....). Ca passe obligatoirement par les reverse proxys ou les VPN

 

Évidemment, il y a des firewalls de partout....

 

Dans les évolutions futures envisagées :

- mise en place d'un VLAN IOT (pour les caméras, Netatmo, etc)

- double serveur Web avec VRRP en DMZ
- 2 routeurs Ubiquti en redondance, toujours avec VRRP

- ce qui n'apparait pas sur le schéma, réplication de la base MySQL/MariaDB sur les 2 NAS Synology/Xpenology

 

[mprinfo]

Bon je suis comme BenjyNet
Je suis pour haproxy et apache en reverse proxy après je suis perdu
Ta passerelle sms pourrait être relier avec l api de ton routeur 4g cela te ferai un appareil en moins pour le même résultat
Moi je suis toujours bloqué avec les SMS avec un pwd type 4 et à priori il faut un nouveau jeton pour chaque action

Envoyé de mon BLA-L29 en utilisant Tapatalk

[pepite]

bonjour  bonjour ultra mega geek la conf avec WAF mod_security à la maison, sslh et VRRP :-)

 

manque un mitmproxy non ?  ;-)

[Lazer]

mitmproxy c'est plutôt pour intercepter les communications, à utiliser pour les besoins de reverse enginering, par exemple analyser le protocole d'un objet connecté.

 

Sinon pour ceux qui se demandent, un WAF c'est un Web Application Firewall.

Il y en a plein de commerciaux utilisés en entreprise, mais en gratuit on utilise mod_security, qui est un module d'Apache. C'est la raison pour laquelle il y a un Apache en reverse proxy derrière HAProxy, ça semble complexe mais c'était le seul moyen (en réalité, il y a un hack pour faire tourner mod_security sans Apache, mais c'est pas terrible, mieux vaut conserver le Apache classique comme dans tous les tutos)

 

Bref, le WAF analyse toutes les requêtes Web et bloque celles qui semblent suspicieuses (tentative d'injection SQL, etc) Donc cela ajoute une couche de sécurité supplémentaire.

Par contre, il faut créer certaines exceptions, par exemple pour DSM, sinon certaines fonctionnalités sont bloquées.

[pepite]

Il y a 1 heure, Lazer a dit :

mitmproxy c'est plutôt pour intercepter les communications

ben oui, mega ultra geek, tu interceptes tout pour analyser avant ;-)