CasaOS / ZimaOS [TUTO] Installer Nginx Proxy Manager

morgyann a dit:
Détermine peut être l'objectif final (ton cahier des charges) - quel accès externe par ex - et une solution + simple apparaitra peut être ...
Cliquez pour agrandir...
Yep !
Alors ça c'est clair depuis toujours. J'ai besoin d'accès distants qui soient le plus sécurisés et confidentiels possible, afin de me protéger, tant du profilage, du vol de données, des logs FAI et des attaques. C'est le "pourquoi" de mon auto-hébergement.

Les tunnels VPN individuels sont une mesure forte que je veux additionner au https qui permettra d'améliorer la confidentialité lors de la navigation pour limiter les fuites sur les appareils clients (Genre trackers des pages ouvertes dans un navigateur ou applis trop curieuses avec des droits surévalués).

La question, c'est comment associer les tunnels en https, avec un seul port 443 et 80.
Je pense que le problème est là. Wireguard écoute en 51820 et contourne ainsi Nginx - je pense - après la redirection Infomaniak vers mon IP.
De fait, son accès IP_LAN_Serveur se fait en direct au lieu de passer par Proxy_Host malgré son point de terminaison sur le NDD.
Du coup, si l'on pouvait trouver comment rediriger le flux VPN pour qu'il ne contourne pas Nginx, ce serait gagné.

J'ai pensé hier à la solution VPS car ce serait une solution, en effet. C'est du coup ce dont parle @EVO dans ton lien. C'est cher si j'ajoute mes services VPNs et d'autres services payants, mais si je ne trouve pas la solution en local, l'option pourrait être envisagée en ultime recours.

Bref...
Sinon j'ai réussi à faire fonctionner le contrôle d'accès cia IP et/ou via authentification. Cette option est pas mal pour une whitelist.
 
Machin-Truc a dit:
La question, c'est comment associer les tunnels en https, avec un seul port 443 et 80.
Cliquez pour agrandir...
Si c'est juste pour accéder à distance à ton réseau ou juste à ton serveur ZimaOS de façon sécurisé avec un simple NDD (pour ne pas à avoir à taper ton IP) :

0. Si c'est juste pour ZimaOS tu as l'accès à distance avec l'app client ZimaOS sans ouverture de ports

1. Accès via NDD - Tu ouvres juste à l'externe le port 443 (perso tous mes services sont sur uniquement celui-ci) - le port 80 n'a besoin d'être ouvert uniquement pour le renouvellement des certificats. Si c'est juste pour joindre ZimaOS - tu le mets sur un NDD.

2. Accès via VPN - tu installes WG-easy et tu l'associes à ton NDD (optionnel)

3. Tu associes ton NDD à l'IP fixe de ton VPN externe (solution alambiquée, perte de débit, coût sup et en fait sur une IP fixe dédiée ???) - perso je ne vois pas trop l'efficience (déjà dis) :unsure:

Machin-Truc a dit:
mais si je ne trouve pas la solution en local,
Cliquez pour agrandir...
Je rappelle une fois encore que je ne suis, à ce niveau, pas vraiment spécialiste ...

Cependant, il me semble que la solution la + sécurisée de toutes (et qui te couteras moins chère que ton abonnement VPN) demeure en l'investissement dans un Routeur / Pare-feu à la sortie de ta Box (voir déjà ce qu'elle propose) qui te permettra d'autoriser ou non ce que tu veux.

Essaye de voir avec @Bambusa29 qui semble être spécialiste ici en cybersécurité - ex avec OpenWRT
Bambusa29

Posté dans le sujet 'Votre dernier achat ? On veut tout savoir !'

Achat d'une barrette mémoire et d'un routeur hardware (5 connecteurs RJ45 - i226V - 2,5Gb/s) en remplacement de mon Wifi Asus sur laquel j'avais installé OpenWRT (toujours peur qu'il me claque entre les mains avec ces 256M de Mémoire :oops:).
J'avais déjà 3 disques Nvme de récupération en stock. Je lui ai mis un 256Go, ce qui est amplement suffisant.

IMG_20260318_185103_369.jpg


IMG_20260318_185244_683.jpg

Du coup, je suis reparti sur un pare feu IPFire (c'est basé sur Linux et pas OpenBSD) avec 4 zones distinctes.

Tout fonctionne à nouveau, mais j'ai galéré un peu ; on oublie toujours un truc dans les configs...
  • J'aime

Ou ouvre un poste, avec ton cahier des charges sur ce sujet ...
 
Oui tu as raison, c'est préférable de faire un post dédié. Déjà encore merci car même si je patauge avec ça, toutes les applis fonctionnent de leur coté en suivant tes conseils. Reste à faire se rencontrer WG et NGINX...
 
Bambusa29 a dit:
peut-être utilisé le mode "socket stream" du proxy, si tu veux que le flux WireGuard transite par Nginx ?
Cliquez pour agrandir...
Salut @Bambusa29 ,

Un truc comme ça ? Du coup il suffit d'intercepter le trafic à l'entrée du port et de le renvoyer à la même URL mais sur le port 443 ?
Dans Nginx WebUI, y'a t'il un moyen d'obtenir de la télémétrie pour contrôler si le routage est bon ?

stream tcp.png
 
Je n'ai jamais testé ce fonctionnement là et je ne pense pas que cela soit possible (Socket UDP vers TCP-HTTPS) ; mais a tester !!

Je voyais plutôt la solution de rediriger ton flux UDP vers ton serveur WireGuard Local tout en transitant via Nginx qui pourrait faire de la télémétrie.
 
Salut @morgyann, n'ayant pas réussi a avoir le https avec Tailscale, je m 'intéressé a Nginx le port 443 tu l'as activé sur Zima dans le réglages ou pas car moi je l'ai activé et lors de l'installation ça me met port déjà utilisé? en fait je vais utilisé en nid le taillent de tailscaile qui lui est en https dans les réglages.
ton blog est super mais je dois m'adapter car je préfère utilisé Taiscaile ce qui m'évite de toucher a la box.
 
@Ludo33
Ludo33 a dit:
Nginx
Cliquez pour agrandir...
On parle bien de NPM ?
Ludo33 a dit:
port 443 tu l'as activé sur Zima
Cliquez pour agrandir...
???? tu parles de la conf de NPM :

1776110405052.png

Sur ta Box tu ouvres les ports 80 et 443 et en direction du serveur qui a NPM

Ludo33 a dit:
port déjà utilisé?
Cliquez pour agrandir...
Tailscale utilise apparemment les ports 80 et 443 dans sa détection automatique

Donc soit tu désinstalles Tailscale (si c'est sur le même serveur) ou tu utilises un autre serveur pour installer NPM ou tu installes NPM sur une IP en MACVLAN mais dans tous les cas de figure les ports 80 et 443 devront être dirigés vers l'IP de NPM

Ludo33 a dit:
https avec Tailscale
Cliquez pour agrandir...
Pourquoi n'installes tu pas WG-easy - j'ai testé à distance et ça fonctionne nickel (et tu peux le mettre sur un NDD si tu veux)
yapasdebug.bzh

WG-Easy – Installation sur ZimaOS et CasaOS

WG-easy est une solution open-source qui permet de déployer un serveur WireGuard. WireGuard est un protocole de réseau privé virtuel (VPN)
yapasdebug.bzh yapasdebug.bzh
 

Pièces jointes

  • IMG_0951.jpeg
    IMG_0951.jpeg
    173.8 KB · Affichages: 3
  • IMG_0950.jpeg
    IMG_0950.jpeg
    177.3 KB · Affichages: 3
Ludo33 a dit:
Non dans le réglage ZimaOS mode développeur
Cliquez pour agrandir...
Non tu dois mettre ton zima sur le port 82 (autre que le 80 et 81 et 443 utilisé par NPM). Si tu veux mettre ton interface Zima sur https tu utilises un NDD sur NPM (voir + bas)
Et décoche le HTTPS dans Zima


Sur CasaOS

1776115923356.png

Sur ZimaOS

1776116024882.png

Si par la suite tu veux mettre ton ZimaOS sur un NDD tu utilises ton NPM

Picture.png
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour