Synology Reverse proxy et applications herbergées sur le NAS (DS audio, file manager ...)

[xavax]

Bonjour, j'ai suivi le tuto du reverse proxy mais il y a un truc qui m'echappe avec les application hebergées par le nas....
File manager par exemple.
J'ai bien créé un non de sous domaine file.monnomdedomaine.me activé un port par exemple le 7001 en HTTPS.
Sur mon routeur j'ai routé le port 443 vers le syno. Je pensais faire un reverse proxy du port 443 -> 7001 aves le nom de domaine file.monnomdedomaine.me mais j'accede deja a file mananger directement avec ceci https://file.monnomdedomaine.me
Comment c'est possible ?
Il faut eviter le port 443 ?
Merci pour votre aide

 

[zypos]

Si tu utilise le reverse proxy tout passe normalement par le port 443 ; ensuite deux cas de figure
1) Tu utilise une appli propre à DSM : il faudra configurer le reverse proxy ici :


2) ce n'est pas une appli intégrer à DSM le reverse proxy se trouve dans l'onglet suivant : Portail de connexion / avancé

Il y a eu qq modifs avec le passage à DSM 7.0.1 et les tuto ont été rédigé avec une version antérieur ( et non actualiser)

 

[xavax]

ha d'accord donc je s uis quand meme en reverser proxy lorsque je passe par "applications".
Je pensais qu'il fallait recréer une regle dans l'onglet "avancé" reverse proxy .
Merci

Pour partager des fichiers avec file station il faut donc que j'active le non de sous domaine c'est bien ca ?

 

[zypos]

ha d'accord donc je s uis quand meme en reverser proxy lorsque je passe par "applications".

Oui pour toutes les applis propre à Synology lister sur la copie d'écran plus-haut ; ensuite tu passe par le sous-domaine que tu as défini exemple file.momdomaine.synology.me

 

[xavax]

Du coup j'ai activé avec filestation le sous domaine file.monnomdedomaine.me mais lorsque je fais un partage depuis filestation le lien de partage n'et pas bon... Il ne mets pas file.mondedomaine.me/fichier mais directement monnomdedomaine.me/fichier
Du coup ca ne fontionne pas ....

 

[MilesTEG]

Si tu utilise le reverse proxy tout passe normalement par le port 443 ; ensuite deux cas de figure
1) Tu utilise une appli propre à DSM : il faudra configurer le reverse proxy ici :


2) ce n'est pas une appli intégrer à DSM le reverse proxy se trouve dans l'onglet suivant : Portail de connexion / avancé

Il y a eu qq modifs avec le passage à DSM 7.0.1 et les tuto ont été rédigé avec une version antérieur ( et non actualiser)

Alors je me permet de nuancer ces propos. On peut très bien passer par l'onglet "Avancé -> Proxy Inversé" du portail de connexion pour paramétrer le reverse-proxy pour les applications Synology. C'est ce que je fais
Mais par acquis de conscience, je suis aller paramétrer un nom de domaine dans l'onglet "Applications" pour une application Synology.
Ça fonctionne
il faut cependant toujours aller dans la partie dédiées aux certificats pour affecter le certificat du nom de domaine à l'application.

Par contre, via l'onglet Applications, on ne peut pas paramèter d'en-têtes personnalisés comme ceux du websocket.
(d'ailleurs, à ce propos, quelqu'un pourrait m'expliquer ce que c'est exactement ?)

 

[zypos]

@MilesTEG1 : Tu utilise tjrs les ports par défaut ou tu a modifier les ports ?
J'ai la mémoire qui flanche ( la veillesse ) il faudrait que je me repenche sur le sujet

Message automatiquement fusionné : 12 Avril 2022

Du coup j'ai activé avec filestation le sous domaine file.monnomdedomaine.me mais lorsque je fais un partage depuis filestation le lien de partage n'et pas bon... Il ne mets pas file.mondedomaine.me/fichier mais directement monnomdedomaine.me/fichier
Du coup ca ne fontionne pas ....

Je n'ai pas tester le cas du partage de liens . Mais sur l'appli mobile pour l'accés à DsFile cela fonctionne sans le sous-domaine :
xxx.synology.me

 

[xavax]

Du coup si je veux utiliser le reverse proxy pour file station ,j'active un port HTTPS dans l'onglet "application" et ensuite je fais un reverse proxy avec le nom de sous domaine que je veux.
Le nom de sous domaine (et le certicat) se fera directement avec le reverse proxy

Si je fais tout depuis l'onglet application port et nom de sous domaine dans ce cas je n'utilise pas le reverse proxy.

 

[zypos]

Je commence à avoir du mal à suivre ( faut pas trop bousculer les vieux )
Pour ton pb de lien pour le partage de fichier effectivement cela ne fonctionne pas : le lien créer n'indique pas le sous-domaine , si tu corrige l'URL manuellement en rajoutant le sous-domaine : c'est bon .(bug ?) Mais je pense que l'on doit pouvoir contourner le pb .
Reverse proxy et https ne sont en soit pas lier : pour le Https il faut te créer un certificat Let'S Encrypt et le lier à ton nom de domaine .
Si tu utilise des sous-domaine : il faut modifier ton certificat et indiquer les sous-domaine .
Tu peux t'inspirer du tuto paru sur Cachem ici :https://www.cachem.fr/synology-domaine-reverse-proxy-https/
(j'en suis l'auteur)

 

[MilesTEG]

@MilesTEG1 : Tu utilise tjrs les ports par défaut ou tu a modifier les ports ?

Moi je modifie toujours les ports par défaut

 

[xavax]

Merci, c'est bien à partir de ce tuto que j'ai commencé
C'est plus sécurisé en https ou en reverse proxy ?
C'est une couche de sécurité supplémentaire le reverse proxy ?
Si c'est ca alors je ne comprends pas comment je fais pour activer le reverse proxy avec les applications interne du syno.
Et encore une question vaut mieux garder le port 443 ou le modifier ?
Pour tester j'ai fait ceci

et j'ai configuré ces ports sur dans la partie reverse proxy avec un nom de sous domaine.
Ca vous parait bien ?
Concernant le partage de fichier si je modifie le sous domaine a la main dans le lien ca passe .
Encore merci à vous j'apprends plein de choses

 

[zypos]

C'est plus sécurisé en https ou en reverse proxy ?
C'est une couche de sécurité supplémentaire le reverse proxy ?

Simple avis : La sécurité c'est plus le https et le pare feu si tu le configure ; le reverse proxy c'est plutôt un éguilleur , son rôle étant de rediriger les requettes Web vers le service concerné ( qu'il soit sur le Nas ou un autre équipement)

vaut mieux garder le port 443 ou le modifier ?

Le port 443 est le port par défaut pour le https , pour ma part je le conserve

j'ai configuré ces ports sur dans la partie reverse proxy avec un nom de sous domaine.

Je pense que c'est préférable , car sinon tout passe par le port commun avec DSM (5001) / ( j'espère que je ne me trompe pas )

partage de fichier si je modifie le sous domaine a la main dans le lien ca passe .

Je vais essayer de potasser cette question , Synology ayant éffectuer qq changement dans le Reverse-Proxy depuis DSM 7

merci à vous j'apprends plein de choses

Nous avons tous à apprendre et je ne suis pas Expert
Si tu as un peu de temps , regarde cet article : https://www.cachem.fr/synology-connexions-https/
Je pense qu'il va t'intéresser

Message automatiquement fusionné : 13 Avril 2022

Bon resultat de mes premier test : Il y a bien un pb avec les liens de partage des fichiers en utilisant le reverse proxy
Le nom de sous-domaine n'apparait pas dans l'URL crée donc erreur ; il faut le rajouter manuellement pour que cela fonctionne .
Bug ? ou oubli de Synology ?

 

[Drthrax74]

Bonjour,

Le protocole HTTP est un protocole pour transmettre des données Non chiffrés et donc lisible par tous.
Au contraire le protocole HTTPS, il a été conçu pour transmettre des données chiffrées entre l'émetteur (Ton pc) et le destinataire (Serveur)
Ensuite le reverse proxy sert à ne pas exposer le service qui gère la ressource ou la ressource elle même.
Et pour conclure, le VPN permet d'avoir un accès à distance dans un tunnel sécurisé dont seule l'émetteur et le serveur ont les clés de communication, ce qui rend la communication sécurisé.


Pour ma part, je penses qu'un reverse proxy est utiles pour les ports 80 et 443.
Ensuite le VPN pour le monitoring de l'infrastructure.

 

[alexd]

Bonjour, mes excuses si la réponse à ma question se trouve ailleurs. J'ai pas mal googlé mais je ne trouve pas la solution à mon problème.

J'utilise reverse proxy pour les apps hébergées sur le NAS et également pour quelques dockers. Ca fonctionne très bien.

Par contre, pour le desktop de DSM (donc en faisant un reverse proxy de 443 vers 5001 (j'ai aussi testé vers 5000)), là je tombe systématiquement sur la page m'indiquant que web station est bien configuré.
La config de ce reverse proxy est identique aux autres (si ce n'est, bien entendu, le sous-domaine et le port de destination qui diffèrent).

Auter bizarrerie, si, dans la navigateur je mets n'importe quel sous-domaine (non défini dans reverse proxy), je tombe aussi sur la page d'accueil de web station.

Toutes les idées sont les bienvenues car là, je sèche...

Et sinon, excellent après-midi !

alex

 

[zypos]

Par contre, pour le desktop de DSM (donc en faisant un reverse proxy de 443 vers 5001 (j'ai aussi testé vers 5000)), là je tombe systématiquement sur la page m'indiquant que web station est bien configuré.

Rien dans le portail de connexion n'a été prévu pour faire fonctionner DSM avec le reverse proxy. Il y a peut-être un moyen de contourner le pb en
mettant un port exotique pour DSM dans : panneau de configuration / Portail de connexion / DSM (mais je n'ai pas tester)

Auter bizarrerie, si, dans la navigateur je mets n'importe quel sous-domaine (non défini dans reverse proxy), je tombe aussi sur la page d'accueil de web station.

Le reverse proxy passe par le port 443 (https ) qui est le port part défaut du serveur Web donc pas trop déconnant

 

[alexd]

Rien dans le portail de connexion n'a été prévu pour faire fonctionner DSM avec le reverse proxy. Il y a peut-être un moyen de contourner le pb en
mettant un port exotique pour DSM dans : panneau de configuration / Portail de connexion / DSM (mais je n'ai pas tester)

Le reverse proxy passe par le port 443 (https ) qui est le port part défaut du serveur Web donc pas trop déconnant

Merci pour votre réponse. Je vais essayer en changeant les ports de DSM

Message automatiquement fusionné : 12 Mai 2022

Ca ne fonctionne pas mieux. Merci quand même.

 

[jeu2]

On peut très bien passer par l'onglet "Avancé -> Proxy Inversé" du portail de connexion pour paramétrer le reverse-proxy pour les applications Synology. C'est ce que je fais

J'ai défini un reverse proxy sur le port 443 pour acceder à surveillance station.
Depuis mon mobile j'utilise DS Cam.
L'application DS cam se connecte bien à surveillane station, par contre il est impossible de visualiser les videos enregistrées des cameras.
Sans le reverse proxy, DS Cam fonctionnait parfaitement

Je viens de trouver sur ce lien

https://www.reddit.com/r/synology/comments/cplk77

Pour que l'application DS Cam fonctionne avec un reverse proxy configurer sur le NAS, il faut ajouter une entete personalisée en cliquant sur web socket, ce qui créera les deux lignes suivantes.

Maintenant tout fonctionne avec le seul port 443 ouvert, y compris DS Cam Android.

 

[MilesTEG]

J'ai défini un reverse proxy sur le port 443 pour acceder à surveillance station.
Depuis mon mobile j'utilise DS Cam.
L'application DS cam se connecte bien à surveillane station, par contre il est impossible de visualiser les videos enregistrées des cameras.
Sans le reverse proxy, DS Cam fonctionnait parfaitement

Je viens de trouver sur ce lien

https://www.reddit.com/r/synology/comments/cplk77

Pour l'application DS Camfonctionne avec un reverse proxy configurer sur le NAS, il faut ajouter une entete personalisée en cliquant sur web socket, ce qui créera les deux lignes suivantes.
Maintenant tout fonctionne avec le seul port 443 ouvert, y compris DS Cam.
Voir la pièce jointe 8236

Je ne m’en étais jamais rendu compte car je mettais systématiquement ces entrées dans le reverse proxy de dsm.
C’est aussi le cas avec swag/nginx que j’utilise actuellement.

 

[oleevr]

Encore un thread très intéressant! La différence entre les portails de connexion aux applications et le reverse proxy peut en effet prêter à confusion... au top vos rex et conseils respectifs