Reprise du message précédent :

Sur l'onglet d'accueil HAProxy, à côté de boutons d'écriture de la configuration et de réinitialisation des paramètres par défaut.

 
Peut être parce que j'avais bidouillé en important d'autres certificats auparavant. Il a peut être récupéré la première fois seulement.

Si tu peux reprendre une explication détaillée sur Haproxy ça m'intéresse fortement (j'ai essayé de recoller les bouts avec tes derniers posts mais une récap ne serait pas de refus )

Ca roule, je prépare ça.

Sinon, dis nous ce que tu veux faire et ou est-ce que tu coinces.

Il doit le récupérer tout seul à l'install, mais si tu changes le certif par défaut, j'imagine qu'il faut le lui dire.

 
Bah j'ai passé l'étape du certificat créé mais il me reste l'essentiel, l'installation de Haproxy et sa configuration C'est un paquet qui se trouve sur quelle source ? Fichier de config à éditer à la mano, via une interface ? etc

Tu trouveras le paquet haproxy sur synocommunity.com.
Il faut ajouter la source dans dsm, c'est très bien expliqué dans la FAQ http://www.synocommunity.com/faq
 
Ensuite, tu installes HAProxy, puis ... Ca fonctionne. C'est très intuitif je trouve.

Je suis intéressé par une recap' aussi , si y'en a une .
Merci pour la réponse.

idem
d'ailleurs le nom de domaine, tu l'avais avant ? ou tu l'as entierement créer chez startssl ?

Je l'avais.

http://www.pcinpact.com/news/85710 [...] mecast.htm
 
Pour 40€ on va peut être pouvoir streamer son contenu sur sa télé en toute tranquilité  

Drapal je viens de commander le DS213j pour remplacer mon DNS320

ah ca va te changer....

 
Je viens de tester le mien tout juste reçu, c'est de la balle On en a pour notre argent !

Bon, comme demandé, voici un petit récap' de ce que j'ai fait.
Je tiens juste à préciser que je ne suis pas spécialiste en réseau et que je vais surement écrire quelques conneries, merci de me corriger si je me trompe.

1/ Etat des lieux (dans le cas d'un syno branché sur le réseau local via une box internet)
Par défaut, si on ne fait rien un boitier syno n'est pas accessible de l'extérieur.
Depuis le réseau local, on y accède par exemple par des adresses http://ip_locale:5000 avec ip_locale dans le genre 192.168.0.1

5000, c'est le port, c'est à dire la porte d'entrée de votre boitier syno.

2/ Rendre le nas accessible de l'extérieur
Depuis l'Internet (donc pas au sein du réseau local), il faut passer par l'adresse ip publique, celle qui pointe vers votre box. Par exemple 88.191.0.1
http://monip.org pour la connaître. On passe donc par le port 5000, ce qui donne http://88.191.0.1:5000

Problème : 5000, c'est la porte d'entrée sur le nas, pas sur la box. Donc ça ne mène nulle part. Il faut configurer sa box pour lui dire que s'il l'on reçoit des requêtes sur le port 5000, il faut la transférer au nas 192.168.0.1, sur le port 5000.
On pourrait très bien lancer une requête sur un autre port http://ip_publique:8080 et spécifier à la box que toutes les requêtes qui arrivent sur le port 8080 doivent être renvoyées au nas sur le port 5000.

http://ip_publique:8080 => http://ip_locale:5000.

De même, 5000, c'est le port par défaut sur lequel le nas écoute. On peut très bien le changer. Comme d'ailleurs tous les numéros de port spécifiés dans ce texte.
Pour router les ports de votre box, je vous renvoie à la notice

3/ Utiliser un nom de domaine.
Entrer une adresse ip pour accéder à votre nas, c'est pas forcément sympa, surtout si vous devez communiquer l'adresse à des amis. On peut acheter un nom de domaine. Il en existe dans tous les prix, même des gratuits. Je vous laisse chercher le fournisseur qui vous convient le mieux, c'est pas ça qui manque.

Il faut configurer chez votre fournisseur de nom de domaine (ndd) vers où va pointer votre ndd. Il faut indiquer l'IP publique de votre box.
par exemple : mondomaine.com => 88.191.0.1

A noter que si vous êtes connectés à l'Internet sur votre réseau local, vous pouvez donc utiliser http://mondomaine.com:5000 pour accéder au nas depuis chez vous comme de l'extérieur.

Dans mon cas, il se pose ensuite deux problèmes :

• La sécurité
• Au boulot, ma connexion ne peut communiquer que sur les ports 80 (http) et 443 (https). http://mondomaine.com:5000 ne fonctionne pas. Je pourrais faire écouter ma box sur le port 80, mais ça m'ennuie car le voudrais l'utiliser pour d'autres choses et ne pas le sacrifier.

4/ Sécuriser sa connexion.
On accède au nas depuis l'exétérieur, c'est bien joli, mais comme vous êtes ouverts à l'extérieur, il faut savoir qu'il y a des méchants qui pourraient

• Tenter de s'introduire chez vous
• Intercepter les données que vous envoyez au nas depuis l'extérieur, ou inversement les données que votre nas envoie à des utilisateurs pourtant authentifiés
• Se placer entre le nas et l'utilisateur distant et se faire passer pour l'un ou l'autre. Par exemple, l'utilisateur croit qu'il parle au nas, mais en fait c'est un vilain qui se fait passer pour lui. Vous lui balancez plein d'infos.

Il ne faut pas tomber dans la paranoïa, mais un minimum de protection est nécessaire. Si vous laissez votre vélo dans Barbes, vous avez de fortes chances qu'on vous le vole. Avec un petit antivol décathlon, moins. Avec un gros U de moto, presque aucune chance. Mais de toute manière, si on veut vraiment voler votre vélo, quelque soit l'antivol, on y arrivera, ça prendra juste plus de temps et de moyen. La question est de savoir qui et pourquoi quelqu'un mettrait des moyens énormes pour braquer votre pauvre machine avec des photos de vacances. Et si c'est le cas, je pense que vous avez des problèmes plus importants à régler que la sécurisation de votre nas et que vous n'en êtes pas à lire un tuto de noob

On va donc régler tout ça en cryptant les informations qui circulent et en authentifiant les acteurs.

Pour le cryptage, il suffit (grossièrement ) de passer par une connexion sécurisée cryptée. En général, les ports par défaut http et https sont respectivement 80 et 443. Dans les normes, ils sont quasiment toujours configurés comme implicites. Ca veut dire qu'on a pas besoin de les saisir. http://google.fr:80 par exemple.

Nous, on va donc passer toutes nos requêtes sur le port 443 via le protocole https. On fait donc écouter la box sur le port 443 qu'on transfert vers le port 5000 du nas (pour le moment). Et on ajoute un s à http.

Ce qui donne https://mondomaine.com.

Mais là, votre navigateur devrait vous donner un message d'avertissement en vous spécifiant que ok, la connection est cryptée, mais on est pas surs de qui est en face. Est-ce vraiment bien votre nas et pas un vilain qui intercepte la connexion ?

Petit rappel sur le cryptage :

Alice veut envoyer un message à Bob.
Alice ==> "Bonjour Bob" ==> Bob.

Alice veut crypter le message pour que personne ne l'intercepte. Elle créé un algorithme qui va encoder le message grace à une clé privée. Cette même clé sert aussi à décoder le message. Les deux interlocuteurs la possède.
Alice crypte "Bonjour Bob" + "cle" = "XrezjIN"
Alice envoie "XrezjIN" à Bob
Bob connait "cle" et "XrezjIN", il arrive via l'algo à déterminer le message "Bonjour Bob"

Il se pose deux soucis :

• Comment diffuser la clé à notre interlocuteur sans qu'on la vole.
• Si on a plusieurs interlocuteurs, par exemple Bob et Charlie, alors les deux possèdent la même clé et peuvent décoder le message de l'autre. Mais ce que Charlie raconte à Alice, on a pas forcément envie que Bob le sache, surtout si les interlocuteurs ne sont pas des amis que vous connaissez, comme un site de vente en ligne qui discute avec des milliers de clients. Si un client communique ses coordonnées bancaires, il veut bien que le site marchand les lise, mais pas les autres clients.

On utilise alors le cryptage avec une clé privée et et une clé publique. Alice est la seule à posséder la clé privée. Elle distribue une clé publique différente à tous ses interlocuteurs.
Ainsi, Alice peut écrire un message, le crypter avec sa clé privée et il sera lisible par toutes les clés publiques. Mais si Bob décide d'écrire à Alice, il crypte son message avec sa clé publique. Alice est capable de décrypter toutes les clés publiques avec sa clé privée. Charlie ne peut décrypter que la clé privée d'Alice mais pas les clés publiques des autres.

Alice crypte "Bonjour Bob" + "cle privée" = "XrezjIN"
Alice envoie "XrezjIN" à Bob
Bob connait "cle public de bob" et "XrezjIN", il arrive via l'algo à déterminer le message "Bonjour Bob"

Bob veut envoyer "Bonjour Bob" à Alice :
Bob crypte "Bonjour Bob" + "cle publique" = "sdZEe" (différent de "XrezjIN" vous noterez !)
Alice connait "cle privée" et "sdZEe", elle arrive via l'algo à déterminer le message "Bonjour Bob"
Charlie connait "cle public de Charlie" et "sdZEe", l'algo va lui donner n'importe quoi "zregry"

Les certificats reposent sur ce principe.
Alice, c'est le nas, Bob et Charlie, ce sont les navigateurs depuis lesquels vous vous connectez au nas.
On peut générer un certificat via le DSM dans "Paramètre de DSM" -> "Certificat" -> "Créer un certificat".
Une fois qu'il est créé, il faut l'exporter (bouton "Exporter le certificat" ). Et sur les machines qui veulent se connecter, on doit importer le certificat que vous venez d'exporter. Sur mac, c'est un "trousseau" propre à l'OS qui gère les certificats. Sur Windows, c'est chaque navigateur qui doit importer le certificat.

Une fois que c'est fait, vous n'avez plus de warning, vous êtes surs de parler à votre nas et que ce qui se dit entre vous est crypté et ne peut pas être décrypté par quelqu'un d'autre. C'est ce qu'on appelle un certificat auto-signé (signé par vous même sur votre nas).

Ca marche bien mais le souci, c'est qu'il faut enregistrer tous les postes/navigateurs clients un par un. Si vous donnez l'url https://mondomaine.com/photo/ à votre grand mère, elle va tomber sur le warning et se dire "houla un virus, j'ouvre pas". Pas top.

La solution c'est de passer par un certificat d'un tiers de confiance. C'est à dire un organisme connu de tous qui a des accords avec à peut près tous les navigateurs etc. C'est donc à lui qui vous demandez de créer un certificat.

Comment créer un certificat chez startSSL => http://furie.be/news/33/15/Synolog [...] ifiee.html

Il vous fourni une clé privée et un certificat que vous devez importer dans "Paramètres de DSM". Cette fois-ci, pas besoin d'exporter car le navigateur client qui se connecte à votre nas reconnait que c'est un certificat fourni par startSSL et les clés publiques sont déjà paramétrées.

C'est gratuit pour les certificats de classe 1. On aurait tort de s'en priver. Par contre, il faut les renouveler tous les ans. startSSL fourni des certificats uniquement sur les sous domaines en classe 1 (info à confirmer). On doit donc créer chez son fournisseur de domaine un sous domaine. Par exemple nas.mondomaine.com
C'est en général gratuit et immédiat.

Bon, on arrive à accéder à notre nas depuis l'extérieur, via un nom de domaine, sur une connexion sécurisée et sans message d'avertissement via https://nas.mondomaine.com:5001 mais :

• C'est embêtant de rentrer le numéro de port
• Je voudrais passer toutes mes requêtes par le port 80 ou 443 pour y accéder du boulot.

5/ Router ses requêtes avec HAProxy
Ce qu'on veut faire :
plutôt que taper https://nas.mondomaine.com:5000 ou https://nas.mondomaine.com:8800 pour audio par exemple, on veut taper https://dsm.mondomaine.com et https://audio.mondomaine.com

Tout passe par le port 443, donc on n'a pas besoin de l'écrire.

Première étape : Installer HAProxy.
C'est un paquet distribué par SynnoCommunity. Pour savoir comment installer le paquet => http://www.synocommunity.com/faq

Deuxième étape : routage des ports de la box.
On ne va plus s'embêter à router les ports de toutes les applications de la box vers le nas. On va juste router 80 et 443 vers les deux ports d'écoute d'HAProxy sur le nas, respectivement 5080 et 5443.

On va également activer les ports http et https de chaque application avec qui on veut communiquer. 8800 et 8801 pour audio par exemple.

Et là, comme par magie, vous verrez que sans rien faire, les adresses https://audio.mondomaine.com, https://dsm.mondomaine.com, https://file.mondomaine.com etc... fonctionnent.

Dans sa configuration de base, HAProxy repose sur 3 notions :

• Les frontends. Ce sont les requêtes qu'il reçoit
• Les backends. Ce sont les services à qui il communique
• Association. C'est ce qui sert à associer un frontend à un backend en suivant une certaine règle.

Dans la configuration par défaut il y a deux frontends : http sur 5080 et https sur 5443. Il y a aussi une multitude de backends qui correspondent aux appli de DSM.
Pour chaque backend, il y a une règle d'association écrite :

par exemple frontend https, backend audio, condition if { hdr_beg(Host) -i audio. }
Littéralement, ça veut dire que si la requête accueillie par https sur le port 5443 vient d'un nom de domaine qui commence par audio. alors, on fait on renvoie ça à l'appli audio.

https://dsm.mondomaine.com => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:5000 (comme ce qu'on tapait tout au début)
https://audio.mondomaine.com => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800

En rouge, la communication cryptée.

C'est pas plus compliqué que ça. Pas de configuration manuelle dans des fichiers, tout se passe sur la petite interface HAProxy.

Là on est pas mal, mais on a un petit souci encore. On travaille sur des noms de domaines dsm.mondomaine.com ou encore audio.mondomaine.com et ainsi de suite. Mais chez startSSL, on a fait un certificat pour nas.mondomaine.com uniquement. Ce qui fait qu'on se tape des warnings "interlocuteur non identifié".

Solution 1 : Souscrire à un certificat wildcard chez startSSL. C'est payant, une 50aine d'euro pour deux ans. Il faut envoyer ses documents d'identité scannés etc. Ensuite on peut enregistrer autant de sous domaines qu'on veut.

Solution 2 : On renonce à la classieuse écriture du type https://audio.mondomaine.com et on passe à https://nas.mondomaine.com/audio,  https://nas.mondomaine.com/dsm,  https://nas.mondomaine.com/video ... là, pas de problème de certificat vu qu'on tape toujours sur le domaine  nas.mondomaine.com

Mais du coup, il faut changer les règles d'association d'HAProxy. On ne va par regarder le début de l'host mais le path. C'est à dire le chemin spécifié après le domaine.

On modifie frontend https, backend audio, condition if { hdr_beg(Host) -i audio. }
par frontend https, backend audio, condition if { path_beg /audio }

attention, il faut bien cliquer sur "Ecrire configuration" à chaque changement pour que ce soit pris en compte.
Mais ce n'est pas encore tout à fait bon parce que voilà ce qu'il va se passer :

https://nas.mondomaine.com/audio/ => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800/audio/

Ce qui va donner une belle page d'erreur 404. Ce qu'on veut nous, c'est ça :

https://nas.mondomaine.com/audio/ => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800

Donc dans le backend audio, on va écrire une règle pour qu'il remplace /audio/ par / et si on a une adresse https://nas.mondomaine.com/audio/quelque/chose/ ca donnera  http://192.168.0.1:8800/quelque/chose/

On ajoute reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 au backend audio. Et on fait de même pour tous les autres backends que l'on veut utiliser.

Attention, audio, c'est facile parce que la page par défaut, c'est / et pas /quelque/chose/. Donc ça fonctionne. Dsm par exemple, la page par défaut, c'est /webman/index.cgi et là ça ne fonctionne plus, vous avez une page 404.
Pour ça, j'ai rusé, je n'utilise pas https://nas.mondomaine.com/dsm/, j'ai juste indiqué au frontend https que par défaut, s'il ne trouve rien dans les règles d'association, il doit appliquer le backend dsm. Du coup, j'utilise https://nas.mondomaine.com/ pour accéder au dsm.

Si vous avez d'autres applis qui fonctionnent comme ça, il faut trouver dans les options la valeur de home root et la remplacer par /

Voilà voilà
 
J'espère que je n'ai pas écrit trop de bêtises et que ça aidera certain débutants.

Merci pour ce long et beau tuto. Je prendrai le temps de le lire à tête reposée, en tout cas tu jalonnes le chemin pour les noobs qui voudraient se lancer. Tu es notre pionnier !

Merci beaucoup!
J'ai bien compris ce que faisais HAProxy grâce à toi, et ça a confirmer mes connaissances sur les redirections de ports.

Intéressant

Merci pour les explications.
 
Ne peut on pas générer plusieurs certificats pour chaque sous domaine avec startSSL et se passer ainsi de http://ssdomaine.domaine.com/audio et passer par http://audio.domaine.com/ avec le certificat, même si on doit en faire a chaque fois un nouveau par sous domaine ?
 
Je n'ai pas vu l'endroit dans le tuto où il faut appuyer sur la génération de certificat sous HAProxy, mais j'ai p'tet loupé le passage .

Sauf si tu as plusieurs IP publiques non. Enfin faut voir si haproxy gère le SNI (et que les clients le gère aussi) alors ça serait possible mais sinon non faut un wildcard car tu ne peux binder qu'un certificat à un port.

OK. Merci à vous 2.  
Et bien on suivra le tuto alors .

super tuto      
 
tu es en IP fixe ?
on peut pointer vers une adresse monnas.dscloud.me ?

T'as pas besoin d'IP fixe si ton fournisseur de ndd te fourni un dyndns. Exemple avec OVH :
http://www.freeman59.fr/securisez- [...] -ovh-17224
Tu ne pourras pas générer de certificat signé par un tier pour une adresse en dscloud.me car tu ne possèdes pas le domaine.

Par contre, avec les adresses de type monnas.dscloud.me, pas de certif StartSSL possible, il faut être propriétaire du nom de domaine de deuxième niveau.

 
merci de l'info je pensais faire ndd >> dscloud.me >> nas
 
bien OVH sur ce coup !
 

 
Merci !

Merci pour ce tuto.

 

Superbe.

 
ah mince, on peut pas enregistrer les domaines ndd.synology.me alors ?

non

Bon ça m'a pris un moment mais ça y est, j'ai réussi à installer un certificat startssl!
Merci pour les infos et liens donnés!
 
Maintenant faut que j'arrive à utiliser le nas depuis le boulot!
J'ai changer le port https du syno de 5001 à 8080, on va voir ce que ca donne, sinon pas le choix je passerais par un vrai routeur.

 
Merci beaucoup  

Bonjour à tous,
 
J'ai un 212j depuis presque 2 ans, sans aucun soucis. 2x2To en RAID1.
J'avais configuré pas mal de chose en dehors du DSM (j'aime pas du tout ce truc) à grands coups d'ipkg et de compilation diverses ...
 
Bref, il fonctionnait sans problème avec son 4.0 d'origine jusqu'à hier.
 
Après une panne de courant, la LED status clignotait orange. J'ai essayé avec un HD ou avec l'autre et pareil, impossible de démarrer complètement.
 
Je suis passé par l'assistant et le status était "pouvant être migré". J'ai donc réinstallé un DSM (en sautant les steps 2&3), mais au reboot même combat, mais status "configuration perdue" ...
Réinstallation du DSM et cette fois c'est passé mais il a formaté la partition système du coup.
 
Résultat, mes données sont toujours là, c'est déjà ça, par contre j'ai perdu toute la customisation ...
Je vais devoir reprendre de presque 0 depuis mes sauvegardes.
 
Une idée de ce qui a bien pu se passer ?
 
Merci d'avance

 
oui vu que ton système fonctionne en raid. il devait écrire au moment de la coupure et ca a flingué le systeme.
 
=> c'est pour cela qu'on conseille vivement un onduleur pour des systèmes raids  et un onduleur avec retour d'info en usb branché sur le nas pour qu'il s'éteigne seul comme un grand en cas de coupure
 
As tu sauvegardé la configuration de ton DSM? user/dossiers paratagé etc? ca sort un petit fichier de meme pas 1 mo

C'est quand même limite niveau robustesse. Bon c'est qu'un 212j donc du super entrée de gamme, mais si le système risquait d'être "flingué" à chaque crash sur un serveur (NAS ou autre) ...
Sinon j'ai récupéré fonctions de base (share NFS et CIFS/Samba). J'ai juste recréé mes 3 users et cette partie est de nouveau UP.
Par contre je ne suis pas encore allé voir ce qui était récupérable dans la customisation apache (domaines, proxy, etc, ...) + tout ce qui tournait dans la "debian chrootée".
 
Je n'utilise aucun service "station" de syno, donc c'est 90% du custom
 
Mais un petit onduleur peut être une bonne idée oui.

 
c est ton environnement qui n'est pas "robuste" plutot.
 
A moins d'integrer une batterie en cas de coupure direct dans le nas..
 
en entreprise tu as souvent des prises electriques sur onduleur, c est pas pour rien

Y a aussi des cartes RAID avec batteries embarquées pour être capable de flusher la mémoire (de la carte RAID) sur le disque en cas de coupure.  
 
Le RAID1 ne dispense pas d'une sauvegarde, c'est simplement un système de tolérance à certains types de pannes, ça a déjà été dit et répété X fois.

Oui ça va je connais, je parle d'un crash, qu'il soit électrique (non protégé) ou suite à une erreur mémoire/CPU ou je ne sais quel composant (l'alim du NAS peut elle aussi lâcher, et avec ou sans onduleur c'est pareil).
S'il fallait potentiellement réinstaller après, ça serait limite.
 
J'aimerai juste comprendre ce qui a conduit à cette situation qui reste anormale.