Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1794 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  [Topic R+] Les serveurs NAS Synology - /!\ Lire page 1 SVP /!\

 


Sujet(s) à lire :
 

 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Topic R+] Les serveurs NAS Synology - /!\ Lire page 1 SVP /!\

n°295874
babble
RTFFP !
Posté le 25-08-2005 à 14:42:22  profilanswer
 
Voir ce message dans le sujet non filtré
 

AVERTISSEMENT MODERATION: MALGRE LES FONCTIONNALITES PROPOSEES PAR LES PRODUITS SYNOLOGY, CONFORMEMENT AUX REGLES DE LA SECTION, ON N'ABORDERA PAS LES SUJETS RELATIFS AU P2P, DONC A DOWNLOAD STATION ENTRE AUTRES.

 

ATTENTION : Attaques StealthWorker sur NAS Synology. Voir ici https://www.cachem.fr/nas-synology-stealthworker/ Une blacklist de plus de 800 IP est à télécharger dans les commentaires afin de l'importer dans vos NAS. (Merci Nourzo)

 

ATTENTION : Un bug affecte le processur Atom C2xxx (Modèles concernés : RS2416+ / RS2416RP+, RS815+/RS815RP+, DS2415+, DS1815+, DS1515+, DS415+). Voir ici pour + d'infos, et surtout . Le communiqué de presse de Synology se trouve ici.

 

Vous pouvez tester ici votre version de processeur pour savoir si vous êtes concerné ou pas. Les versions corrigées ont une modification effectuée sur la carte mère : une résistance soudée, vous pouvez le faire vous-même : tuto de Spicy. Faites jouer la garantie des que possible si vous êtes concerné, en préventif. Apparemment il y aurait également des problèmes liés à l'alimentation sur ces modèles (et peut-être sur d'autres). On peut monter une alimentation de PC standard ATX à la place de celle de Synology pour alimenter la carte mère. Plus d'infos ici : https://forum.hardware.fr/hfr/resea [...] m#t1144755

 

ATTENTION : une vulnérabilité est reportée depuis décembre 2016 par plusieurs membres concernant des intrusions par des tiers sur leur NAS via le port 9002, apparemment en lien avec le paquet Sqeezebox Logitech. Soyez prudents et informez-vous si vous avez besoin de cette fonction.

 

Premier hack ici : http://forum.hardware.fr/hfr/resea [...] tm#t955659
Second ici : http://forum.hardware.fr/hfr/resea [...] tm#t960824
Hack sur un forum allemand : http://forum.hardware.fr/hfr/resea [...] tm#t960857

 

Pour un apercu de la gamme, visitez le site officiel
La base de connaissances est très complète, et comporte quelques tutos vidéo

 

Vous pouvez essayer DSM et Surveillance Station 8 sans posséder de NAS Synology directement a cette adresse : https://www.synology.com/en-global/dsm/live_demo

 

La version finale de DSM 7 est disponible. Elle n'est pas automatiquement poussée vers les NAS comme une mise à jour, si vous souhaitez migrer, il faudra le faire manuellement en téléchargeant le package sur le site de Synology et en chargeant la mise à jour depuis DSM.

 

SOMMAIRE :


1- Préparer ses disques durs (soit dans un PC, soit directement dans le NAS)
2- RAID ou pas RAID ? SHR vs Basic (Description, avantages et inconvénients)
3- Règles de base et généralités lors de l'installation de votre NAS
4- Hibernation des disques durs ou pas ?
5- Migration d'un NAS Syno à un autre NAS Syno
6- Tutoriels

 

En préambule, comme c'est une question fréquente, sachez que toute donnée qui se trouve sur un disque ne provenant pas d'un NAS Synology sera effacée lors de son initialisation par DSM. L'initialisation par DSM consiste en : formatage, éventuel test de la surface du disque, création des partitions swap et système DSM en RAID1 (miroir) sur chaque disque, puis enfin création la partition destinée à accueillir vos données : c'est la seule qui sera visible sous DSM.

 

Vous ne pouvez pas insérer dans le NAS un disque contenant des données et utilisé habituellement avec un PC, et accéder à ces données depuis le NAS sous DSM. En revanche les données restent accessibles en ligne de commande pour les utilisateurs avancés, merci Deadlock pour l'essai en ext4, et plus loin en NTFS, également ici.

 

1- Préparer ses disques durs

 
luxy a écrit :


il faut à tout prix éviter les disques SMR et prendre des CMR, regardez ici avec les numéros de référence pour être sûr : https://nascompares.com/answer/list [...] rives-hdd/ (super lien de P'tit Serpent) ou sinon par là : https://rml527.blogspot.com/

 


et ces tableaux :
https://www.techpowerup.com/img/REKo2IsdQmTvWZQ0.jpg

 

https://www.techpowerup.com/img/ubq4hNuO3U4m6CmE.jpg
Source : https://blog.westerndigital.com/wd-red-nas-drives/
Plus d'infos ici : https://www.nas-forum.com/forum/top [...] moignages/

 


Vérifiez les données SMART de vos disques avec quelque chose comme Crystal Disk Info et n'essayez même pas d'installer DSM si vos disques présentent des secteurs défectueux. L'installation risque de planter et à la fin vous aurez un message d'erreur, par exemple de "connectivité réseau" pour mon cas (qui n'a rien à voir avec un problème de secteurs de disque) et vous allez vous arracher les cheveux avant de comprendre que votre réseau n'a rien a voir la-dedans.
Avant d'utiliser les disques durs qui vont recevoir vos précieuses données, il est indispensable de les vérifier sur toute leur surface. Il existe deux méthodes. La méthode intégrée à DSM et la méthode de préparation "poussée" via un utilitaire Linux nommé Badblocks. Certains pensent que l'utilitaire fourni avec DSM au moment de son initialisation et qui va scanner tout le disque en écartant les éventuels secteurs défectueux suffit, mais l'expérience d'autres a déjà prouvé que non, plus récemment ici. Un disque va tenir une première passe d'écriture, puis une seconde, et par exemple planter à la troisième. C'est pourquoi ceux-là (dont je fais partie), recommandent d'effectuer une préparation des disques durs avec l'outil Badblocks, qui fera 4 passes d'écritures/re-lectures avec 4 patterns différentes sur la totalité du disque afin de s'assurer qu'à la fin du processus, aucune erreur d'écriture ou de re-lecture n'a été rencontrée (objectif : obtenir à la fin des 4 passes 0/0/0 errors, comme sur cette image). Un des gros avantages du test Badblocks, c'est que ça stresse très fortement le disque sur plusieurs jours, donc s'il était déjà un peu fragile, il dégage tout de suite et on évite que ça arrive pendant la reconstruction du raid/SHR par exemple.
A vous de voir et de juger par vous-même de l'intérêt de faire cette préparation ou pas.
Une fois booté sous linux (même avec une distribution Live CD ou USB, inutile d'installer Linux sur le PC), ouvrir une fenêtre Terminal et taper :

sudo badblocks -b 4096 -c 98304 -s -w -v /dev/sdx

x étant la lettre du disque dur vierge non partitionné à tester. ATTENTION DE BIEN CHOISIR LE DISQUE, UNE FOIS LA COMMANDE LANCÉE, C'EST SANS FILET ! La valeur de -b est le nombre de bytes par secteur (c'est souvent 4096 mais à vérifier sur la fiche technique du disque, -c est donnée par la formule c=RAM totale (en Mo) x3 /32 , soit 1024x1024x3/32=98304 pour 1Go de RAM et pour tester 1 disque. A adapter pour votre ligne de commande : diviser -c par le nombre de disques à tester en même temps, multiplier -c par le nombre de Go de RAM. Inutile de monter à des valeurs délirantes : badblocks plantera au lancement et ce sera de toute façon les performances du disque qui brideront les débits. Prenez au Max 5Go, même si vous disposez de davantage. Pour info et pour 1 disque en test : 1Go : -c 98304, 2Go : -c 196608, 3Go : -c 294912, 4Go : -c 393216, 5Go : -c 491520, 5,33Go : -c 524287 (semble être la valeur maxi avant plantage de badblocks).
On peut vérifier l'identification du disque dans l'utilitaire de disques (120Go sda dans cet exemple). Sous Mint XFCE, par exemple, c'est dans Menu/Settings/Disks.

 

Voir discussion avec détails sur les valeurs de -c

 

Résultat ici : pour un 4To, 58 heures au lieu de 80 environ habituellement avec -c 98304 au lieu de 10240.

 

Pour un disque monté en interne dans une tour, il faut compter 20 heures par To environ pour -c 10240, et lancer le scan sur plusieurs disques en parallèle n'augmente pas ce temps. Les charges processeur et RAM restent extrêmement basses, et le PC peut être utilisé tout à fait normalement, mais sans être éteint ni redémarré jusqu'à la fin du processus (onduleur recommandé). Attention : il est reporté des temps de plusieurs centaines d'heures si les disques sont testés dans des boîtiers USB 2.0 externes.  2x4To dans un boîtier USB : 23 jours  :pt1cable: . En USB 3.0, les temps sont identiques aux temps mesurés avec les disques montés dans le NAS.

 

Vous pouvez lancer la préparation Badblocks sur un ou plusieurs disques en même temps directement dans un NAS Synology qui dispose déjà de DSM installé. Voir tutos en bas de page.

 

Pour info, les disques WD Red 8To WD80EFZX sont bien compatibles avec les NAS DS 213, 1512+, DS1813+, 2413+, et les Seagate Iron Wolf Pro 12 To - ST12000NE0007 compatibles avec DX510 et DS1511+, compatibles avec DX513 sur 718+ (et sans doute d'autres, y'a pas de raisons, un disque c'est un disque, simplement Synology ne teste pas tout ce qui est disponible sur le marché et surtout les fiches techniques des NAS une fois commercialisés ne sont pas tenues à jour)

 

Topic des onduleurs

 

Pensez à utiliser un onduleur sur votre NAS, surtout si vous vivez dans une zone sujette à coupures ou micro-coupures (onduleur de toute façon recommandé sur un NAS, destiné à être up and running 24/7, avec contrôle du NAS par USB. Le Eaton 3S 550 à 65€ est une des meilleures offres RQP, le APC Back UPS 550 également, un peu plus cher, Eaton EL650USBFR encore plus cher)

  

2- RAID ou pas RAID ? SHR vs Basic

 

Vous devez vous poser une question importante : configurer vos disques durs en SHR (= RAID hybride à la sauce Synology = un Volume de stockage unique réparti sur plusieurs disques) ou en Basic (chaque disque est indépendant = un Volume de stockage par disque). Il n'y pas de configuration meilleure qu'une autre : vous devez vous poser les bonnes questions en fonction de ce que vous souhaitez faire de votre NAS, et avec l'aide de ces quelques explications.

 

Lisez cet article qui vulgarise bien et succinctement les différents types de RAID, ainsi que la page Synology bien faite également.

 

Pour faire simple, un SHR (ou RAID) est un groupe de disques appelé grappe, constituant un Volume (où seront stockées les données), et qui vous permet, à partir de deux disques, de tolérer la panne d'un disque sans que cela impacte la disponibilité des données de ce Volume, puisqu'elles sont répliquées en temps réel sur d'autres disques de la grappe. En revanche, si vous perdez un deuxième disque de votre grappe SHR sans avoir remplacé le premier, toutes les données de toute la grappe constituant ce Volume sont perdues (tolérance à la panne d'un disque en SHR, tolérance à la panne de 2 disques en SHR-2 ou RAID6). Si un disque crashe, il suffit de le remplacer et de lancer la reconstruction du volume, c'est transparent pour les services. L'agrandissement du volume est automatique en cas d'ajout à la grappe d'un disque au moins égal au disque sain, au cas où le disque malade était plus petit.
UN RAID N'EST PAS UNE SAUVEGARDE ! Toute action malencontreuse (ou virus) effectuée sur vos données sont définitives et instantanées (car répliquées instantanément sur tous les disques du Volume). Vous devez disposer d'une sauvegarde de vos documents irremplaçables, et en fonctionnement normal cette sauvegarde doit être déconnectée du système. Si possible, une seconde sauvegarde délocalisée est fortement recommandé (contre les incendies / dégâts des eaux / vols / vandalisme). Une procédure de backup n'est viable que si l'on valide aussi la procédure de restore !. Ce serait dommage de se rendre compte que les sauvegardes ne sont pas récupérables le jour où on en a réellement besoin. Tuto pour sauvegarde des données du NAS

 

En Basic, chaque disque est indépendant et contiendra un seul Volume. La perte d'un disque entraînera la perte de toutes les données de ce disque (et seulement de ce disque).

 

Update : Au lieu de Basic, il est conseillé d'initialiser chaque disque en SHR car un disque SHR peut soit contenir un Volume unique (comme du Basic), soit s'intégrer à une grappe RAID SHR ou SHR-2, alors qu'un disque en Basic peut contenir seulement un Volume unique, il ne peut PAS s'intégrer à une grappe SHR. Donc SHR est plus souple : on peut faire par exemple dans un NAS 4 baies, 4 volumes SHR distincts avec 4 disques (comme en Basic) mais si un jour le besoin évolue, on peut les coupler en RAID SHR ou SHR-2 (pour faire un équivalent de 2 RAID1 par exemple, ou équivalent d'un RAID5 + un volume unique Basic, ou un RAID6 par exemple...). Bref c'est beaucoup plus souple. Conclusion : même pour une utilisation de type "Basic", toujours initialiser les disques en SHR. Dans la suite du post, je considère que "Basic" signifie donc "disque SHR contenant un volume unique, c'est à dire non-intégré dans une grappe".

 

Vous pouvez créer plusieurs volumes SHR dans le même NAS, par exemple dans un 8 baies vous pouvez avoir 2 volumes SHR, un de 5 disques et un autre de 3 disques. Si vous vous êtes trompé lors de l'ajout d'un disque et qu'il a intégré votre RAID SHR existant, voici un tuto pour revenir en arrière (utilisateurs expérimentés, et sauvegarde préalable de vos données fortement recommandée)

 

Avantages et inconvénients :

 

Avantages du SHR (RAID) :
- disponibilité des données (indispensable en entreprise ou sur un NAS qui doit fournir des services en permanence comme le partage de fichiers entre collaborateurs, l'hébergement de sites web, etc)
- simplicité de configuration (pas de question à se poser: les données se répartissent automatiquement sur tous les disques et l'utilisateur ne voit qu'un gros volume, sans se soucier de la manière d'organiser les données). Les paquets s'installent sur tous les disques, donc leur présence et leurs paramètres restent inchangés si un disque lâche. Le volume peut également être étendu facilement en ajoutant des disques supplémentaires et/ou de capacité plus grande. En cas de crash, on remplace le disque malade, un clic dans le gestionnaire de volume pour reconstruire le volume, et ça repart. Certains NAS supportent le remplacement du disque à chaud (hotplug), renseignez-vous. Dans le doute, éteignez.
Inconvénients du SHR (RAID) :
- perte d'espace : l'espace disponible sur le volume n'est qu'une fraction de la somme de la capacité des disques constituant le volume. Sur un 2 baies par exemple, cette fraction vaut au mieux 50% et peut valoir beaucoup moins (car la taille totale du volume est égale au plus petit des deux disques)
- les disques sont stressés davantage (contrôle de parité, écriture simultanée...)
- la sensibilité aux pannes de courant augmente (de l'expérience de nombreux utilisateurs sur divers forums), et de manière générale un SHR (RAID) est plus "chatouilleux" et pourra risquer de planter la totalité du volume en cas de défaillance sur un disque, une coupure de courant, un remplacement de disque qui se passe mal et tout le volume crashe pendant la reconstruction...

 

Avantages du Basic :
- l'espace de stockage est maximal et égal à la somme de chaque disque
- un disque peut être démonté du NAS et installé dans un autre NAS (même version de DSM recommandée) ou bien dans un PC sous Linux pour accéder facilement aux données. Intérêt : remplir un disque sur un NAS dans un local 1, le sortir et l'installer dans un autre NAS dans un local 2 et l'utiliser immédiatement.
- les données irremplaçables d'un disque peuvent être copiées vers un autre disque interne du NAS à des intervalles programmables, et constituer une "sauvegarde" en permettant de ne pas effacer un document de la destination même s'il a été effacé de la source (c'est une "pseudo" sauvegarde car elle est non déconnectée du système en fonctionnement normal). A partir de DSM 6, la fonction "sauvegarde et restauration" intégrée à DSM devient "HyperBackup". Sous HyperBackup, le versionning est géré, ce qui est une avancée, mais les données ne sont plus lisibles directement car encapsulées dans un fichier *.hbk. Pour naviguer dans une sauvegarde encapsulée HyperBackup, il faut utiliser le programme fourni par Synology : HyperBackup Explorer pour  visualiser/restaurer le fichier souhaité (attention : cela semble assez lent), soit visualiser/restaurer la sauvegarde DANS DSM pour qu'elle soit exploitable.  La résistance aux ransomwares est indiqué comme renforcée. Attention à la longueur des chemins d'accès : apparemment pas plus de 256 caractères en non-chiffré, et 143 caractères en chiffré. La commande qui liste les fichiers dont les chemins font plus de 143 caractères (à adapter au besoin) :

find . -type f  -iname "*" |awk -F'/' 'length($NF)>143{print $0}'

.
Pour conserver l'ancien comportement de copies simples de données vers un autre disque, afin que les fichiers soient lisibles directement à la destination, et pas encapsulés : dans la création de la tâche, vous devez spécifier le mode  "copie de données locale", qui comme son nom l'indique, est une simple copie (en clair, pas encapsulée dans un fichier *.hbk) vers un autre emplacement du NAS (idéalement situé sur un autre disque, évidemment, et si possible USB pour une sauvegarde déconnectable). Le versionning n'est en revanche pas supporté dans ce mode.

 


Il existe une solution qui fonctionne à tous les coups sans passer par HyperBackup. Gros intérêt de cette méthode : fonctionne aussi avec un disque USB externe comme source, alors que c'est impossible avec HyperBackup. Il suffit de créer une nouvelle tâche dans le planificateur de tâches (Panneau de configuration de DSM).
https://rehost.diberie.com/Uploads/0/20210915-222402-2e8e1ea3-77ec-4474-bbca-5600de58e491.0.pic.gif
dans l'onglet Programmation vous programmez la fréquence de répétitions de la tâche
dans le champ "Exécuter la commande" vous tapez la ligne de commande à base de rsync que vous souhaitez, renseignez-vous sur la syntaxe et les options de rsync, mais typiquement :

 

rsync --delete -vaE -progress /volumeX/source/ /volumeY/destination

 

Dans cet exemple, l'option --delete effacera à la destination ce que vous aurez effacé à la source.
Si vous ne souhaitez pas ce comportement, enlevez l'option --delete et la destination conservera le fichier sauvegardé même s'il a été effacé à la source.
(notez bien le double tiret avant delete)

 

Attention :
Si vous n'ajoutez pas de / à la fin de "source" dans la ligne de commande, alors un dossier nommé "source" sera créé dans le dossier nommé "destination" et tout son contenu y sera copié.
Si vous ajoutez un / à la fin de "source/" alors c'est seulement le contenu du dossier nommé "source" ainsi que ses sous-dossiers qui sera directement copié dans le répertoire nommé "destination", mais sans y créer le sous-dossier nommé "source".

 

Typiquement, pour un adepte du babble-raid, on écrira quelque chose du style :

rsync -vaE -progress --exclude=@* /volume1/ /volume2/Disque2/Sauvegarde_NAS

 

L'option -a (archive) permet de conserver les propriétés, dates, propriétaire, récursivité, etc des fichiers dans "destination". Voir ici ou par exemple.
Post d'origine ici (merci Messij et Deadlock) et ici

 


Inconvénients du Basic :
- la perte d'un disque entraîne la perte de toutes ses données, et entraîne également une indisponibilité partielle et temporaire de service, le temps de remplacer le disque et de restaurer la sauvegarde des données et les paquets éventuellement installés sur ce disque.
- obligation de jongler manuellement avec la place disponible au moment de copier des données sur les disques

 

Un petit schéma pour illustrer cette différence d'espace disque disponible SHR VS Basic :

 

https://rehost.diberie.com/Uploads/0/20210915-222402-2c41b3a2-75f5-4517-abe7-8eaf008da837.0.pic.gif

 


En gros, un particulier qui utilise un NAS pour faire principalement du stockage multimédia et de la sauvegarde de ses documents perso devrait configurer ses disques en Basic.
Une entreprise (ou assimilée) DOIT fonctionner en SHR pour assurer la disponibilité permanente des fichiers et services hébergés.

 

Surtout jamais de RAID 0 sur un NAS, car un disque qui meurt et c'est la totalité des données de TOUS les disques qui meurt. Vous pouvez toujours le faire si vous le voulez et que vous savez ce que vous faites, mais ce sera en connaissance de cause. Concernant JBOD, c'est un peu moins vrai : les données des disques non-HS restent récupérables, EE8 avait des tests  ici

  

Synology a mis en ligne un super outil RAID Calculator permettant de calculer la place disponible sur un SHR en fonction des disques qu'on insert dans le NAS:
https://www.synology.com/fr-fr/support/RAID_calculator

  

3- Règles de base lors de l'installation de votre NAS et généralités :

 

1. Désactiver le compte "admin" et le compte "guest" (c'est le cas par défaut dans les versions récentes de DSM)
2. Utiliser pour les comptes utilisateurs et administrateurs des mots de passe forts (suffisamment longs, et avec majuscules, minuscules, chiffres, et caractères spéciaux).
3. N'ouvrez sur l'extérieur (= au niveau de votre routeur) que les ports dont vous avez strictement besoin. Configurez de la manière la plus restrictive possible le pare-feu du NAS, en bloquant tout sauf les règles que vous allez créer. Respectez l'ordre des règles du pare-feu. En premier : accès autorisé depuis les machines du réseau local, en deuxième : accès autorisé depuis les pays que vous choisissez, et en dernier blocage de tout le reste, notamment de tous les autres pays étrangers depuis lesquels vous n'attendez pas de connexion. Ouvrez uniquement les ports correspondants à vos besoins au niveau du pare-feu du NAS.
4. N'utiliser pour se connecter depuis l'extérieur QUE des protocoles sécurisés (https et pas http, WebDav crypté, SSH et pas Telnet, etc). Si possible, modifiez les ports standards par des ports personnalisés. Souvent cette dernière opération se soldera par l'impossibilité de vous connecter depuis votre lieu de travail, où seuls quelques ports standards seront ouverts, et seul le 443 passera pour l'https (que vous redirigerez au niveau de votre routeur vers le 5001 pour accéder à DSM par exemple). Plus d'infos ici
5. Utilisez le blocage automatique des IP sur erreur de connexion. Vous pouvez paramétrer le nombre de tentatives échouées permises durant un laps de temps avant le bannissement de l'IP, et la durée de bannissement. Conseil : mettez en liste verte une ou plusieurs IP de votre réseau local ou de votre proxy du boulot par exemple, car vous risquez de vous bloquer vous-même.
6. Installez toutes les dernières mises à jour de sécurité (conseil : sur des machines en production, attendez tout de même les retours des utilisateurs :D )
7. Activez toujours la corbeille sur tous les dossiers partagés que vous créez, vous vous prémunirez ainsi d'une suppression accidentelle, si vite arrivée.
8. N'utilisez pas le système de configuration automatique du routeur.

 

Pour les meilleures performances, brancher le NAS (et les équipement qui y accèdent) à un switch Gigabit
N'utiliser que des câbles ethernet de catégorie 5e minimum
Un disque dur 5400 RPM suffira largement dans un NAS car c'est le réseau qui bridera la vitesse de transfert. Un 7200 RPM chauffera sans doute davantage, vibrera davantage, et sera plus bruyant, donc aucun intérêt.
Ne pas acheter tous ses disques en même temps et chez le même marchand pour éviter de cramer tous les disques simultanément s'ils viennent d'une série à problème.
Pour ceux qui utilisent des dossiers partagés cryptés, ne cochez pas la case de montage automatique au démarrage, car en cas de vol ou d'intrusion dans le local, le pirate pourra réinitialiser le mot de passe admin et accéder au dossier crypté qui se sera ouvert automatiquement rien que pour lui :D. Edit : non, c'est faux, les dossiers cryptés sont démontés et le montage automatique est désactivé en cas de reset physique https://www.synology.com/fr-fr/know [...] nology_NAS
Attention : si la partition système contenant DSM arrive à saturation, le NAS plante et devient inaccessible. Veillez autant que possible à laisser un peu d'espace libre. Voir ici pour les mésaventures (résolues) de Rufo.
Il peut arriver que l'espace restant ne corresponde pas avec la quantité de données effectivement présentes dans les shares visibles. Dans ce cas, et après avoir vidé toutes les corbeilles des shares, connectez-vous en SSH et naviguez dans les dossiers système à la recherche de dossiers temporaires pouvant contenir énormément de données, comme @cloudstation, @cloudsync, @download etc, exemple ici, grâce à la commande (pour le cas du volume 1) :

du -h -d 1 /volume1/


Pour connaitre l'espace total/restant :

df -h


Windows 10 a effectué une mise a jour qui désactive pour des raisons de sécurité le protocole SMBv1, qui permettait la découverte automatique des serveurs sur le réseau. Donc sauf si vous avez impérativement besoin de SMBv1 sur des clients anciens ou non mis à jour sur votre réseau, il est préférable de passer le NAS en SMBv2 mini et SMBv3 maxi dans le panneau de config.

 

Quelques logiciels Windows très pratiques qui vous faciliteront la vie :
DoubleKiller - comme son nom l'indique sert à trouver les fichiers identiques en plusieurs exemplaires disséminés sur les chemins à scanner que vous pouvez définir. Nombreuses options de filtrage et notamment la possibilité de reconnaître des fichiers identiques même avec un nom différent et une date différente. (compatible Mac et Linux avec Wine, sinon il existe Duplicate File Finder Remover, ou Gemini ou TidyUp sous Mac)
SyncBack - utilitaire très pratique permettant de programmer des tâches de sauvegarde vers des disques locaux ou des serveurs. Supporte la fonction de lancement de la tâche à insertion d'un disque USB déterminé (par son numéro de série ou son nom), supporte la fonction de laisser à la destination les fichiers supprimés de la source, et plein d'autres choses. Ne copie que ce qui est nécessaire. (Chronosync ou Freefilesync sous Mac, LuckyBackup sous Linux par exemple)
Everything - programme qui indexe les fichiers locaux et dossiers réseau mappés (comme des shares de NAS) dans l'explorateurs de fichiers. Permet de rechercher instantanément un fichier parmi des centaines de milliers simplement tout ou partie de son nom ou de son répertoire.
HDgraph - utilitaire permettant de scanner un disque / répertoire mappé dans l'explorateur afin de représenter son contenu sous forme de camembert à plusieurs niveaux. Chaque "part" est cliquable et permet de réexplorer les sous-dossiers associés. Très visuel et très intuitif. (équivalent Linux : Baobab. Équivalent MacOS : DaisyDisk)

 


Lisez la liste des bonnes pratiques selon Synology, attention toutefois avec l'assistant EZ Internet reporté de nombreuses fois comme problématique. Mieux vaut gérer ses ouvertures de ports / pare-feu / services manuellement.
Je vous recommande également le topic de fenrir très complet sur les bonnes pratiques de sécurité (merci à lui) : http://www.nas-forum.com/forum/top [...] 0-son-nas/

 

Alternative aux coûteux boîtiers d'extension Synology : le boîtier USB externe 8 baies ICY BOX IB-RD3680SU3 (380€ en oct. 2017) est compatible avec le DS214Play (et sans doute avec d'autres NAS). Chaque disque est visible séparément, contrairement à la situation reportée il y plusieurs années confirmant que dans le meilleur des cas, seul le premier disque de ce genre de boîtier était visible par DSM (edit: esata semble avoir ce comportement, mais OK en USB). Ça permet de se faire un gros NAS pour pas trop cher pour ceux qui ont de gros besoins de place. Preuve de fabb24 : http://forum.hardware.fr/hfr/resea [...] tm#t994087
Idem pour le boîtier externe FANTEC QB-35US3-6G à 124€ en décembre 2018 branché en USB3 sur un DS218+ ou sur un 1813+ (en esata, seul le premier disque semble reconnu). Même type de produit chez ICY box : référence 11585 (137€ en 01/2021). Principal inconvénient de ces boîtiers : impossibilité d'étendre un volume SHR du NAS principal en tant que volume unique SHR.

 

Une barrette de RAM alternative aux produits hors de prix certifiés Synology : l'expérience de elmer91

  


4- Hibernation des disques durs ou pas ? : Discussion ici et jusqu'à la fin de la page 1034

  

5- Migration entre deux NAS Synology

 

Pour migrer d'un NAS Synology à un autre, vous pouvez consulter ici la page du tuto synology pour DSM 5. Pour DSM 6, cliquez ici. Pour simplifier, il suffit de savoir qu'il faut prendre les disques d'un NAS et les remettre dans l'autre NAS (dans le même ordre selon Synology, mais selon l'expérience de certains, le sens importe peu; dans le doute, essayez de garder le même), puis installer le DSM de votre choix qui correspond à votre NAS. Le plus simple pour installer la dernière version est de passer par http://find.synology.com sur un ordinateur lorsque votre NAS est démarré et raccordé à votre réseau local. Les données sont théoriquement préservées, mais comme d'habitude, le même conseil : assurez-vous tout de même d'avoir une sauvegarde à jour. Si http://find.synology.com ne fonctionne pas, passez par le Syno Assistant.

 

Avertissement de xjoker : il ne faut pas changer le disque 1 d'un NAS A par un disque 1 d'un NAS B sous peine de se retrouver avec tout le système du B qui tourne sur le A mais avec 2 volumes cassés  :D  J'ai du rechanger et prendre un autre disque dans le tas. On ne peut remplacer le disque 1 d'un NAS que par un disque sans système Synology dessus, à ce moment là, il va chercher DSM sur le disque 2.

  

6- Tutoriels :

 

Lancer la préparation Badblocks sur un ou plusieurs disques en même temps directement dans un nas qui dispose déjà de DSM installé.
Tuto de babble. Autre tuto dissident de EE8 ^_^, et version courte de Kana-Han.

 

Installer un certificat reconnu correctement par les navigateurs, et ainsi éviter les avertissements de sécurité https

 

https://docs.google.com/document/d/ [...] ERSaYr0rc/ Attention, ce tuto de MilesTEG1 n'est plus maintenu donc pas forcément à jour. Depuis DSM 6, préférer Let's Encrypt, plus simple et largement plus facile. Tuto de NextImpact : https://www.nextinpact.com/news/981 [...] nology.htm, en résumé : Ouvrir et rediriger les ports 443 et 80 (sur routeur et sur NAS), puis dans DSM > Sécurité > Certificat > Ajouter un certificat > Procurez-vous un certificat auprès de Let's Encrypt > Rentrer un NDD (ceux de synology sont ok) et une adresse mail. Et c'est tout ! exemple ici

 

Comment accéder et récupérer les données des disques du NAS sur un PC en cas de dysfonctionnement du NAS : Procédure Synology

 

Tuto pour configurer HAPROXY : mise en situation et explications, et post du tuto de Remigio

 

A propos de QuickConnect par Deadlock. Lire également le post d'au-dessus de EE8 qui donne un lien de configuration d'accès à distance, en prenant l'exemple de la LiveBox. A adapter à vos besoins/ports/services.

 

Downgrader la version de DSM installé : http://forum.hardware.fr/hfr/resea [...] tm#t880429 et http://forum.hardware.fr/hfr/resea [...] m#t916182. Attention d'après ça, le downgrade ne fonctionne plus. Edit : Fredouye nous confirme que ça fonctionne toujours sous DSM6 : https://forum.hardware.fr/hfr/resea [...] m#t1010631

 

Comment monter des dossiers d'autres volumes à l'intérieur des shares (dossiers partagés) existants avec la commande mount --bind : http://forum.hardware.fr/hfr/resea [...] tm#t933278

 

Procédure de passage d'un Raid SHR à un mode Basic : Tuto de babble pour l'exemple d'un NAS 2 baies

 

Exclure un disque de votre grappe Raid SHR ajouté par erreur : tuto sur cambier.org

 

La connexion SSH directe en tant que root n'est plus supportée depuis DSM 6 : Se connecter avec un compte du groupe admin et taper sudo -i

 

Utiliser WinSCP en root depuis DSM 6 :  Tuto de SanPe'

 

Utiliser DSM6 comme reverse proxy pour vos autres équipements réseau de la maison : Tuto de Fender. Tuto completé par InfoYANN et Ultimate tuto par Kawamashi

 

Augmenter la vitesse d'agrandissement d'un RAID suite à l'ajout de disques : Post d'origine, et résultats.

 

Installer un serveur VPN avec OpenVPN : Tuto de mulanee et super tuto de Fenrir.

 

Se reconnecter à distance à une tâche Hyperbackup initiée localement puis déportée dans un NAS distant : Tuto de houckaye

 

Remplacement ventilateur de DS210j (sans doute valable pour d'auters modèles de NAS de génération équivalente) : TOOGOO(R) 70mm x 25mm DC 12V 2W 3 Broches validé par zoidberg

 

Remplacement des ventilateurs 2x80mm de DS418j par des be quiet! silent wings2 : validé par kleinekrokodil https://forum.hardware.fr/hfr/resea [...] m#t1071106

 

Remplacement des ventilateurs 2x80mm de DS920+ par des Noctua NF-A9 FLX : validé par MilesTEG1 : https://forum.hardware.fr/hfr/resea [...] m#t1133667
 

 

Supprimer l'authentification en deux étapes lorsque vous avec fait une fausse manip qui vous empêche de vous connecter :
http://forum.hardware.fr/hfr/resea [...] tm#t976011 et https://forum.hardware.fr/hfr/resea [...] m#t1083202

 

Installation et configuration de mail plus server : Tuto de INFOYANN

 

Utiliser un nom de domaine OVH sur Synology avec un reverse proxy : Tuto de SanPe'

 

Sauvegarder les données contenues sur son NAS : Tuto de INFOYANN ou ici sur nas-forum

 

WOL (Wake On Lan) : réveiller un PC de son réseau local à partir du NAS : https://forum.hardware.fr/hfr/resea [...] m#t1016676

 

Ajouter OVH dans la liste des DDNS supportés par Synology, depuis qu'OVH a été supprimé de cette liste : https://forum.hardware.fr/hfr/resea [...] m#t1025702

 

Désactiver Universal Search (fait ramer les petites configs) : Tuto de InfoYANN

 

Installer et configurer Pi-Hole sous Docker : Tuto de Phenix21

 

Depuis iOS 13, on peut accéder au NAS sur son réseau local (ou via VPN, ou encore WebDAV Nav) sans passer par DS File mais directement par l'app native Fichiers : info de myzt https://forum.hardware.fr/hfr/resea [...] m#t1097978

 

Repasser le volume 1 (par exemple) en lecture-écriture à la suite de sa mise en lecture seule par le système pour des raisons de fiabilité, comme à la suite d'un secteur défectueux détecté par exemple :

mount -o remount,rw /volume1

 Attention, commande à utiliser à vos risques et périls, car si le système considère le volume comme non-fiable, c'est qu'il y a sans doute une raison... Ne pas considérer cette commande comme une réparation.

 

Déplacer un paquet installé d'un volume à un autre : Post de fabb24 Attention : source non supportée officiellement par Synology, à utiliser en connaissance de cause et à vos risques et périls. Pas encore supporté sous DSM 7 : voir posts de covis86 ici. Tuto en ligne de commande ici

 

Restaurer un snapshot BTRFS : tuto de bifidusse

 

Utiliser un SSD nVME des DS918 et + comme share plutôt que comme cache : lien de raptor68 et traduction, descriptions, illustrations, screenshots pas à pas de MilesTEG1 et mise à jour 2023 en attendant une mise en forme avec screenshots : https://gist.github.com/MilesTEG1/2 [...] ceaaebada1

 

Faire un RAID 1 hybride SSD+HDD intelligent (écriture privilégiée sur HDD et lecture privilégiée sur SSD) : tuto de raptor68

 

Procédure en cas de led bleue clignotante suite à l'ajout de RAM : tuto de paf27

 

Vérification de la RAM (suite à l'ajout d'une barrette par exemple) : Tuto de MilesTEG1

 

Installer Bitwarden avec une sauvegarde automatique de la base de données : Tuto de MilesTEG1

 

Test de débit internet Speedtest sur NAS Synology : Tuto de EVOTk

 

Connaître l'IP publique d'un NAS connecté via VPN : Connecté en ssh, taper :

wget -qO- http://ipecho.net/plain | xargs echo

ou

wget -qO - icanhazip.com

 

Fin de la mise à jour - janvier 2023
Toute information ci-dessous n'est pas vérifiée, et mieux vaut une pomme rouge qu’une jaune :o

  


News du 19/05/09:

 

cartemere nous a fait quelques petits tutos pour faire fonctionner la Freebox HD et nos Syno grâce à l'Upnp:

 

Créer des simlinks

 

Installer Ushare sur le Syno (Serveur Upnp)

 

Installer MediTomb sur le Syno (Serveur Upnp)

 


Sommaire:

 
  • Présentation de la marque et de la gamme
  • iUSB
  • USB Station
  • Les Disk Station DS101 Series
  • Les Disk Station DS106 Series
  • Les Disk Station DSx07 Series
  • Les Cube Station CS407 series
  • Les Syno en général
  • FAQ
 

 
  • Présentation de la marque et de la gamme


          Synology est ainsi un fabricant de serveurs NAS, (A ce sujet, je vous invite à vous rendre sur ce topik afin de connaître les caractéristiques générales d'un serveur de fichiers NAS). L'entreprise est basée à Tapei (Taiwan), mais exporte ses produits dans l'hexagone, grâce à des revendeurs tels que Surcouf, Rue du commerce, ou des magasins de vente par correspondance moins connus tels que MacWay ou e-Network à Grenoble.

 

         La principale caractéristique d'un serveur NAS est sacapacité à stocker des fichiers, mais nous allons voir que les Synology offrent des fonctionnalités bien plus puissantes & intéressantes qu'un simple service de stockage d'informations. Les différents produits de la marque se partagent entre 2 grandes catégories: La gamme destinée au profesionnels et la gamme orientée davantage grand public & petites entreprises.

 
  • iUSB


          L'iUSB est un produit un peu particulier au sein de la gamme de Synology car ce n'est pas un boitier réseau NAS. Il s'agit simplement d'un boitier pouvant accueillir un disque dur 2,5" (Pour les ordinateurs de portable). Nous ne nous attarderons donc pas dessus, bien qu'il puisse être utilisé en complément d'un boitier NAS Synology.

 

         - Photos

 

         - Caractéristiques détaillées

 

         - Démonstration Flash

 


  • USB Station


          Grâce à l'USB Station, nous arrivons progressivement vers ce qui est le sujet principal de ce topik: Les boîtier NAS Synology. L'USB Station est en fait un boitier NAS mais sans espace de stockage. Ce matériel est prévu pour être branché à un disque dur externe en USB2 afin de pouvoir partager ce dernier sur un réseau local. Il peut également faire office de serveur d'impression puisque il dispose d'un second port USB, pouvant accueillir une imprimante.

 

         - Photos

 

         - Caractéristiques détaillées

 

         - Démonstration Flash

 

 
  • Les Syno en général


     - Les Liens

 

         - www.synology.com (Site officiel)
          - www.nas-forum.com (Communauté Française Synology)
          - tutosyno.webdynamit.net (Ressources & News pour votre Synology)
          - Les revendeurs Synology

 
  • FAQ


     Les matériels compatibles ?

 

         - Les Disques Durs Compatibles ?
          - Imprimantes Compatibles
          - Quels Dma (lecteur Mutlimédia) Sont Supportés ?
          - Haut Parleurs Et Cartes Son Usb Pour Le Audiostation
          - Caméras Ip Pour Surveillance Station
          - Compatibilité Des Onduleurs

 

    Bootstrap, IPKG ...

 

         - 900 Packages Pour Le Bootstrap 107+/207+/407
          - Installation Du Bootstrap Sur Les Nas Synology
         

Message cité 8 fois
Message édité par babble le 02-01-2023 à 11:11:07
mood
Publicité
Posté le 25-08-2005 à 14:42:22  profilanswer
 

n°715039
Fender
♪♫♪♫♪♫♪
Posté le 04-11-2013 à 12:05:16  profilanswer
 
Voir ce message dans le sujet non filtré
 

David7578 a écrit :

Je reviens sur la question du navigateur dans dsm...
Ce serait très pratique pour accéder à l'interface web de la box et autres depuis l'extérieur. Un seul accès en standard en synology.me, puis on fait ce qu'on veut ensuite...

 

pour ce besoin là, au lieu d'un navigateur dans le navigateur, en théorie haproxy permet d'y répondre en utilisant les sous-domaines, mais si j'ai réussi a faire passer tous les services possibles du syno via des sous-domaines en https, j'ai pas réussi à mapper des ip du réseau interne de la même façon. j'ai du louper un truc dans la doc parce que normalement, c'est possible...
c'est aussi possible en scriptant, y'a eu un lien ici-même il y a quelques mois vers une méthode pour accéder à ce qu'on veut depuis une adresse en sousdomaine.domaine.tld (ou depuis sousdomaine.pseudosyno.synology.me pour ceux qui utilisent les domaines synology)

Message cité 1 fois
Message édité par Fender le 04-11-2013 à 12:06:18
n°715153
David7578
Posté le 04-11-2013 à 19:06:09  profilanswer
 
Voir ce message dans le sujet non filtré
 

Fender a écrit :

 

pour ce besoin là, au lieu d'un navigateur dans le navigateur, en théorie haproxy permet d'y répondre en utilisant les sous-domaines, mais si j'ai réussi a faire passer tous les services possibles du syno via des sous-domaines en https, j'ai pas réussi à mapper des ip du réseau interne de la même façon. j'ai du louper un truc dans la doc parce que normalement, c'est possible...
c'est aussi possible en scriptant, y'a eu un lien ici-même il y a quelques mois vers une méthode pour accéder à ce qu'on veut depuis une adresse en sousdomaine.domaine.tld (ou depuis sousdomaine.pseudosyno.synology.me pour ceux qui utilisent les domaines synology)


J'ai regardé du côté de haproxy en effet, ça m'a semblé trop compliqué pour le besoin.
Sinon, s' il était possible d'avoir deux dhcp sur le réseau, avec celui du syno en secondaire.

n°717980
Fender
♪♫♪♫♪♫♪
Posté le 14-11-2013 à 09:28:54  profilanswer
 
Voir ce message dans le sujet non filtré
 

J'ai enfin réussi à faire marcher haproxy correctement !
C'est GE-NIAL.
Toutes mes applications et même d'autres machines de mon réseau sont maintenant disponibles simplement en tapant appli1.mondomaine.fr
appli2.mondomaine.fr
etc.
et avec passage auto au SSL s'il vous plait :o

n°718054
Fender
♪♫♪♫♪♫♪
Posté le 14-11-2013 à 13:43:53  profilanswer
 
Voir ce message dans le sujet non filtré
 

aceditnanar a écrit :

 

Y'a un tuto ou des instructions a un endroit pour reproduire cette config ? Ca peut etre intéressant :).


y'a un topic sur nas-forum (chercher "haproxy" ) et je peux aider pour compléter.

 

En gros, c'est très simple haproxy écoute sur les ports 5080 et 5443 pour faire du http et du https, ça s'appelle les frontends
derrière, tu as des backends qui orientent vers une adresse et un port en fonction du sous-domaine et enfin des associations.
Perso, je n'utilise que le frontend ssl car le port 80 est utilisé par des applis web normales
sur le routeur ou la box, tu mappes le port 443 vers le 5443 du syno. ça te permet déjà d'accéder à ce que tu veux en commençant par https://appli1.mondomaine.com

 

Ensuite, ce que tu trouveras pas sur le topic de nas-forum, c'est la petite redirection qui permet de taper l'adresse sans le https:// mais qui l'ajoute tout seul, que je peux vous donner/expliquer sans problème si c'est nécessaire


Message édité par Fender le 14-11-2013 à 13:49:43
n°728983
skatecubem​an
Posté le 20-12-2013 à 09:51:59  profilanswer
 
Voir ce message dans le sujet non filtré
 

David7578 a écrit :

Je ne me suis toujours pas mis au reverse proxy et autres pour accéder à tous les services au travers du port 80 ou 443...
Je trouve que c'est un peu trop 'bricolage' quand on a pas le niveau pour comprendre ce qu'on fait.  
Je suppose qu'on a toujours pas de module tout prêt pour ça?


 
Regarde du côté de haproxy, configurable directement depuis le dsm et pré configuré pour beaucoup de services  :jap:

n°729413
Fender
♪♫♪♫♪♫♪
Posté le 22-12-2013 à 12:23:33  profilanswer
 
Voir ce message dans le sujet non filtré
 

Palampampam a écrit :

et je peux pas configurer photostation en https ?


si mais ça t'oblige à mettre toi même le https devant.
les sites qui passent en https automatique sur l'url sans http(s), c'est juste qu'ils font une redirection http->https
je fais ça d'ailleurs, en fait, mais c'est une configuration plus complexe (j'utilise haproxy)
maintenant, photostation, c'est une appli web, c'est pas illogique d'y accéder en http.
ton port 80 est fermé carrément ? t'as ouvert que le 443 ?

n°738296
Fender
♪♫♪♫♪♫♪
Posté le 24-01-2014 à 09:35:59  profilanswer
 
Voir ce message dans le sujet non filtré
 

pour les ceusses qui utilisent haproxy et sickbeard comme paquets tiers, ça marche sans aucun problème. Plex est par contre incompatible, faut attendre une màj.

 

attention à la mise à jour de php : certaines fonctions sont deprecated ce qui peut occasionner quelques erreurs...


Message édité par Fender le 24-01-2014 à 10:01:33
n°738780
Fender
♪♫♪♫♪♫♪
Posté le 26-01-2014 à 12:02:51  profilanswer
 
Voir ce message dans le sujet non filtré
 

Remigio a écrit :

Sinon autre question :
 
Je souhaite accéder à mon nas uniquement en https sans possibilité de http.
 
J'ai donc fait un certificat, tout fonctionne bien en https et en http, ça ne fonctionne pas. Je me connecte donc avec https://monnas.com:xxxx/ (j'ai fait du port forwarding.
 
En fait j'ai coché "rediriger http vers https et je pensais bêtement qu'il y avait une redirection url, mais en fait non. Si je ne mets pas le s de https ou si je ne mets pas le numéro de port explicitement, ça ne fonctionne pas.
 
Il y a un moyen simple de rediriger mon domaine vers https à tous les coups et d'y ajouter le port que j'ai choisi par défaut si aucun n'est mentionné ?
 
C'est une config Apache dans DSM ?
 
:jap:


Rien ne t'empêche de router le port 80 vers ton port 5001 si tu n'as pas d'autre site, mais ca va t'empêcher d'utiliser photo station notamment.
Tu peux aussi router le 443 vers le 5001, tu devras mettre le https, mais plus besoin d'écrire le port dans l'url et tu laisses le port 80 libre pour photo station pu toute appli web que tu installerais ultérieurement.
Sinon, pour finir, il y a haproxy qui permet d'associer un sous domaine à chaque appli dont dsm, audio station etc. Et qui permet de se passer du s et du port mais la mise en œuvre est un tout petit peu plus compliquée (pas vraiment compliquée mais mal documentée. MP si besoin)


---------------
we are the dollars and cents
n°738830
Fender
♪♫♪♫♪♫♪
Posté le 26-01-2014 à 18:59:52  profilanswer
 
Voir ce message dans le sujet non filtré
 


 

Remigio a écrit :


:jap: je vais regarder ça. Je pensas bêtement modifier la config apache pour écouter le port que j'ai choisi :o
 


C'est plus propre et simple de gérer ça côté routeur + haproxy, sinon, ça va foutre le bordel sur le syno (chaque application a son port et si tu mélanges ça va merder)

n°738901
Remigio
Radio Flip, 72.8
Posté le 27-01-2014 à 11:18:11  profilanswer
 
Voir ce message dans le sujet non filtré
 

Fender a écrit :

non mais laissez tomber, cette redir ça fait que rediriger le 5000 vers le 5001 de toute façon, c'est pas ce qu'il veut faire :o il veut aller plus loin et se passer de :5000 ou :5001 (et il a raison)


Je crois bien [:ddr555]
 
Non mais t'as bien cerné le truc et HAProxy colle parfaitement. Faut juste que je dégage un peu de temps pour m'y mettre :o


---------------
Everybody can succeed, all you need is to believe
n°738912
Remigio
Radio Flip, 72.8
Posté le 27-01-2014 à 11:45:01  profilanswer
 
Voir ce message dans le sujet non filtré
 

En fait, pour résumer, voilà mon raisonnement :

 

Ce qui existe :
http://mondomaine.com:5000 pour le dsm.
http://mondomaine.com/photo/ pour photo station par exemple.

 

Je me dis :
Ah oui mais non, ça passe par le protocole http, donc tout en clair et on peut par exemple intercepter mon mot de passe.
Je vais activer https  [:idee]

 

Je fais :
activation https pour avoir :
http://mondomaine.com:5000
https://mondomaine.com:5001
http://mondomaine.com/photo/

 

Je me dis :
Ah oui mais ça n'empêche pas un utilisateur de se connecter en http, faudrait le forcer à se connecter en https !  [:maestun]

 

Je fais :
Rediriger les connexions http vers https
http://mondomaine.com:5000 => redirige vers https://mondomaine.com:5001 dans la barre d'adresse du navigateur
https://mondomaine.com:5001
http://mondomaine.com/photo/

 

Enfin, c'est ce que je pensais. Si je ne mets pas le https ni le port 5001, chez moi ça ne fonctionne pas.

 

Quand bien même ça fonctionnerait, j'aimerais m'affranchir de la saisie du port et du s de https.

 

=> si j'écoute sur le port 80 au lieu de 5000 ou 443 au lieu de 5001, ça va fonctionner (pour la non saisie du port). Mais pas les autres applis web comme http://mondomaine.com/photo/ par exemple. (pareil avec du port forwarding).

 

Solution 1 : je fais des règles de routage ou des alias dans la config httpd.conf d'Apache.
Solution 2 : j'utilise un reverse proxy en local ou HAProxy. Plus propre, ça me permettra de bien gérer mes url proprement, de tout passer par le port 80 et 443 ce qui me permettra de fermer tout les autres ports et gâteau sur la cerise, y accéder du boulot vu que seuls les ports 80 et 443 sont ouverts au taf :o  [:basarab ier intemeie]

 


Voilà ce qui me mène à choisir cette solution. Je fais peut être fausse route, mais avec du forwarding de port ou du listening sur le 80 ou une redirection http=>https, j'ai pas l'impression que ça réponde à tous mes voeux.

Message cité 3 fois
Message édité par Remigio le 27-01-2014 à 11:46:54

---------------
Everybody can succeed, all you need is to believe
n°738913
Fender
♪♫♪♫♪♫♪
Posté le 27-01-2014 à 11:49:20  profilanswer
 
Voir ce message dans le sujet non filtré
 

il a haproxy, il a tout compris :o http://haproxy.1wt.eu/img/logo-med.png

n°739188
Fender
♪♫♪♫♪♫♪
Posté le 28-01-2014 à 11:01:42  profilanswer
 
Voir ce message dans le sujet non filtré
 

MilesTEG1 a écrit :


Je pense que l'on ne peut tout simplement pas se passer de l'ajout du port à la fin de l'adresse, car sinon comme le NAS peut-il savoir à quelle application on veut accéder...
Chaque application a un port : DSM, FileStation, AudioStation...
 


Ce n'est pas parce que ce port est indispensable pour le syno qu'on doit forcément l'écrire dans la barre d'adresse du navigateur, on peut écrire autre chose ;)
avec haproxy, j'accède en https à l'ensemble des applications que j'utilise (hors services purs web qui restent accessible de façon classique par port 80) :
audio.mondomaine.fr => audiostation
dsm.mondomaine.fr => dsm
download.mondomaine.fr => download station
je vais même plus loin, le syno avec haproxy installé et configuré me permet même d'accéder à d'autre appareils de chez moi, depuis l'extérieur
alarme.mondomaine.fr => mon alarme
cam1.mondomaine.fr => cam de surveillance 1
netatmo.mondomaine.fr => station netatmo
remdesk.mondomaine.fr => un pc en remote desktop
et tout ça au travers d'une connexion sécurisée avec un certificat auto-signé.

n°739981
Remigio
Radio Flip, 72.8
Posté le 31-01-2014 à 00:04:41  profilanswer
 
Voir ce message dans le sujet non filtré
 

Fender, c'est quoi ton truc pour te passer du s de https avec haproxy ? :o
Tu utilises le frontend https ou https ?
 
T'as un certificat ssl pour chacun de tes sous domaines ?


---------------
Everybody can succeed, all you need is to believe
n°740037
Fender
♪♫♪♫♪♫♪
Posté le 31-01-2014 à 09:38:25  profilanswer
 
Voir ce message dans le sujet non filtré
 

Si c'est important pour vous, faut changer de fusil d'épaule : si je ne m'abuse, haproxy permet aussi de gérer des URL en mondomaine.fr/nomapplication/ pour remplacer mondomaine.fr:5433
Et la, un simple certif start suffit

n°740148
Remigio
Radio Flip, 72.8
Posté le 31-01-2014 à 13:30:21  profilanswer
 
Voir ce message dans le sujet non filtré
 

EE8 a écrit :

et moi qui me dis que j'suis trop un boulet car je ne capte rien à votre chinois
mais j'me rassure en me disant que de toute façon tout le monde s’emmêlent les pinceaux :x


Si tu captes pas c'est que t'en a pas besoin :o
 
Bon, après réflexion, je vais laisser tomber ma première idée d'accéder à mes applis par sous domaine.  
L' idée c'était surtout de s'affranchir de la saisie du port dans l'URL et surtout de tout passer par le port 80 ou 443 qui sont les seuls accessibles au boulot.
L'installation des certificats auto signés sont une bonne solution mais l'installation sur chaque accesseur client m'ennuie un peu.
 
Je pense donc plutôt m'orienter, toujours avec HAProxy, plutôt vers une méthode https://mondomaine.com/dsm,  https://mondomaine.com/audio etc ...
 
 
Voilà ce que j'ai fait pour audio :
 
1/ Dans le portail des applications, j'ai activé le port 8801 pour l'appli Audio Station. Je n'ai pas mis d'alias
 
2/ Dans HAProxy, J'ai donc modifié mon association https/audio avec la condition if { path_beg /audio }
 
3/ Dans HAProxy, j'ai modifié le backend audio.
Serveur : audio localhost:8801 check
Options : reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 => pour par qu'il redirige le /audio/ de l'url qui me sert d'identifiant, je remplace la chaine par /
 
Sur le papier, tout me semble bien mais quand j'essaye d'accéder à https://mondomaine.com/audio, j'ai une 404 :/
 
Une idée de ce qui pourrait clocher ?


---------------
Everybody can succeed, all you need is to believe
n°740151
Fender
♪♫♪♫♪♫♪
Posté le 31-01-2014 à 13:41:03  profilanswer
 
Voir ce message dans le sujet non filtré
 

Remigio a écrit :


Si tu captes pas c'est que t'en a pas besoin :o

 

Bon, après réflexion, je vais laisser tomber ma première idée d'accéder à mes applis par sous domaine.
L' idée c'était surtout de s'affranchir de la saisie du port dans l'URL et surtout de tout passer par le port 80 ou 443 qui sont les seuls accessibles au boulot.
L'installation des certificats auto signés sont une bonne solution mais l'installation sur chaque accesseur client m'ennuie un peu.

 

Je pense donc plutôt m'orienter, toujours avec HAProxy, plutôt vers une méthode https://mondomaine.com/dsm,  https://mondomaine.com/audio etc ...

 


Voilà ce que j'ai fait pour audio :

 

1/ Dans le portail des applications, j'ai activé le port 8801 pour l'appli Audio Station. Je n'ai pas mis d'alias

 

2/ Dans HAProxy, J'ai donc modifié mon association https/audio avec la condition if { path_beg /audio }

 

3/ Dans HAProxy, j'ai modifié le backend audio.
Serveur : audio localhost:8801 check
Options : reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 => pour par qu'il redirige le /audio/ de l'url qui me sert d'identifiant, je remplace la chaine par /

 

Sur le papier, tout me semble bien mais quand j'essaye d'accéder à https://mondomaine.com/audio, j'ai une 404 :/

 

Une idée de ce qui pourrait clocher ?


bouton "écrire la configuration" dans haproxy
(par contre, j'ai pas compris ton option de backend et du coup, je peux pas te dire si ça marche...


Message édité par Fender le 31-01-2014 à 13:42:34
n°740934
Remigio
Radio Flip, 72.8
Posté le 04-02-2014 à 09:24:33  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bon, je suis de retour avec mes certificats :o
 
Finalement, j'ai pas opté pour un wildcard.  
J'ai opté pour haproxy avec la technique
https://mondomaine.com => pointe vers dsm
https://mondomaine.com/audio => Audio station
https://mondomaine.com/file
 
Et ainsi de suite. Ca marche très bien. J'ai enregistré mondomaine.com gratuitement chez startssl et j'ai récupéré tous les fichiers : certificat, clé privée, certificat intermédiaire (propre à startssl pour lui et non à mon domaine c'est bien ça ?).
 
J'importe tout ça dans DSM, ça semble fonctionner :
 
http://reho.st/self/e86ae4074c2740dccf9674b834a5ac6aa810134c.png
 
 
Sauf que quand je me connecte en https, j'ai toujours le warning ...
 
http://reho.st/self/5c6144a10bb96c19aa02055afd5bdb0f9b965433.png
 
 
Une idée de ce que je fais mal ?


---------------
Everybody can succeed, all you need is to believe
n°740942
e_esprit
Posté le 04-02-2014 à 09:45:55  profilanswer
 
Voir ce message dans le sujet non filtré
 

Et quand tu cliques sur le petit cadenas pour en savoir un peu plus sur ce qui pose problème ? :o
 
Qui plus est, vu que tu utilises haproxy au milieu, j'imagine qu'il faut aussi le configurer avec la clef et le certif, l'as-tu fait ?


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°740943
Remigio
Radio Flip, 72.8
Posté le 04-02-2014 à 09:48:43  profilanswer
 
Voir ce message dans le sujet non filtré
 

KevinTran a écrit :

Avec StartSSL il lui faut un sous domaine, ça ne passera pas avec un accès à partir du domaine racine il me semble.

 

J'ai écrit domaine pour simplifier mais c'est effectivement un sous domaine.

 
e_esprit a écrit :

Et quand tu cliques sur le petit cadenas pour en savoir un peu plus sur ce qui pose problème ? :o

 

Qui plus est, vu que tu utilises haproxy au milieu, j'imagine qu'il faut aussi le configurer avec la clef et le certif, l'as-tu fait ?

 

L'identité de ce site Web n'a pas été vérifiée
* Le certificat du serveur ne correspond pas à l'URL
* Le certificat du serveur n'est pas approuvé

 

Effectivement, je n'ai pas mis le certificat au niveau de HAProxy ! Mais je ne vois pas comment en fait [:transparency]


Message édité par Remigio le 04-02-2014 à 09:49:27

---------------
Everybody can succeed, all you need is to believe
n°740949
Fender
♪♫♪♫♪♫♪
Posté le 04-02-2014 à 10:11:48  profilanswer
 
Voir ce message dans le sujet non filtré
 

e_esprit a écrit :

Et quand tu cliques sur le petit cadenas pour en savoir un peu plus sur ce qui pose problème ? :o
 
Qui plus est, vu que tu utilises haproxy au milieu, j'imagine qu'il faut aussi le configurer avec la clef et le certif, l'as-tu fait ?


haproxy utilise la clé définie dans le paramétrage syno, me semble (en tout cas, pour le certif auto-signé, ça fonctionne comme ça)

n°740954
Remigio
Radio Flip, 72.8
Posté le 04-02-2014 à 10:26:42  profilanswer
 
Voir ce message dans le sujet non filtré
 

aceditnanar a écrit :


Tu l'as fait où le "Générer un certificat" ?


Sur l'onglet d'accueil HAProxy, à côté de boutons d'écriture de la configuration et de réinitialisation des paramètres par défaut.

Fender a écrit :


me souvenais pas l'avoir fait :o


 
Peut être parce que j'avais bidouillé en important d'autres certificats auparavant. Il a peut être récupéré la première fois seulement.


---------------
Everybody can succeed, all you need is to believe
n°740956
KevinTran
Photographe
Posté le 04-02-2014 à 10:32:10  profilanswer
 
Voir ce message dans le sujet non filtré
 

Si tu peux reprendre une explication détaillée sur Haproxy ça m'intéresse fortement :D (j'ai essayé de recoller les bouts avec tes derniers posts mais une récap ne serait pas de refus :o )


---------------
http://www.kevintran.fr
n°740968
KevinTran
Photographe
Posté le 04-02-2014 à 11:21:54  profilanswer
 
Voir ce message dans le sujet non filtré
 

Remigio a écrit :

Sinon, dis nous ce que tu veux faire et ou est-ce que tu coinces.


 
Bah j'ai passé l'étape du certificat créé mais il me reste l'essentiel, l'installation de Haproxy et sa configuration :D C'est un paquet qui se trouve sur quelle source ? Fichier de config à éditer à la mano, via une interface ? etc


---------------
http://www.kevintran.fr
n°740975
Remigio
Radio Flip, 72.8
Posté le 04-02-2014 à 11:42:55  profilanswer
 
Voir ce message dans le sujet non filtré
 

Tu trouveras le paquet haproxy sur synocommunity.com.
Il faut ajouter la source dans dsm, c'est très bien expliqué dans la FAQ http://www.synocommunity.com/faq
 
Ensuite, tu installes HAProxy, puis ... Ca fonctionne. C'est très intuitif je trouve.


---------------
Everybody can succeed, all you need is to believe
n°741030
Remigio
Radio Flip, 72.8
Posté le 04-02-2014 à 15:31:50  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bon, comme demandé, voici un petit récap' de ce que j'ai fait.
Je tiens juste à préciser que je ne suis pas spécialiste en réseau et que je vais surement écrire quelques conneries, merci de me corriger si je me trompe.

 

1/ Etat des lieux (dans le cas d'un syno branché sur le réseau local via une box internet)
Par défaut, si on ne fait rien un boitier syno n'est pas accessible de l'extérieur.
Depuis le réseau local, on y accède par exemple par des adresses http://ip_locale:5000 avec ip_locale dans le genre 192.168.0.1

 

5000, c'est le port, c'est à dire la porte d'entrée de votre boitier syno.

 

2/ Rendre le nas accessible de l'extérieur
Depuis l'Internet (donc pas au sein du réseau local), il faut passer par l'adresse ip publique, celle qui pointe vers votre box. Par exemple 88.191.0.1
http://monip.org pour la connaître. On passe donc par le port 5000, ce qui donne http://88.191.0.1:5000

 

Problème : 5000, c'est la porte d'entrée sur le nas, pas sur la box. Donc ça ne mène nulle part. Il faut configurer sa box pour lui dire que s'il l'on reçoit des requêtes sur le port 5000, il faut la transférer au nas 192.168.0.1, sur le port 5000.
On pourrait très bien lancer une requête sur un autre port http://ip_publique:8080 et spécifier à la box que toutes les requêtes qui arrivent sur le port 8080 doivent être renvoyées au nas sur le port 5000.

 

http://ip_publique:8080 => http://ip_locale:5000.

 

De même, 5000, c'est le port par défaut sur lequel le nas écoute. On peut très bien le changer. Comme d'ailleurs tous les numéros de port spécifiés dans ce texte.
Pour router les ports de votre box, je vous renvoie à la notice :o

 

3/ Utiliser un nom de domaine.
Entrer une adresse ip pour accéder à votre nas, c'est pas forcément sympa, surtout si vous devez communiquer l'adresse à des amis. On peut acheter un nom de domaine. Il en existe dans tous les prix, même des gratuits. Je vous laisse chercher le fournisseur qui vous convient le mieux, c'est pas ça qui manque.

 

Il faut configurer chez votre fournisseur de nom de domaine (ndd) vers où va pointer votre ndd. Il faut indiquer l'IP publique de votre box.
par exemple : mondomaine.com => 88.191.0.1

 

A noter que si vous êtes connectés à l'Internet sur votre réseau local, vous pouvez donc utiliser http://mondomaine.com:5000 pour accéder au nas depuis chez vous comme de l'extérieur.

 

Dans mon cas, il se pose ensuite deux problèmes :

  • La sécurité
  • Au boulot, ma connexion ne peut communiquer que sur les ports 80 (http) et 443 (https). http://mondomaine.com:5000 ne fonctionne pas. Je pourrais faire écouter ma box sur le port 80, mais ça m'ennuie car le voudrais l'utiliser pour d'autres choses et ne pas le sacrifier.


4/ Sécuriser sa connexion.
On accède au nas depuis l'exétérieur, c'est bien joli, mais comme vous êtes ouverts à l'extérieur, il faut savoir qu'il y a des méchants qui pourraient

  • Tenter de s'introduire chez vous
  • Intercepter les données que vous envoyez au nas depuis l'extérieur, ou inversement les données que votre nas envoie à des utilisateurs pourtant authentifiés
  • Se placer entre le nas et l'utilisateur distant et se faire passer pour l'un ou l'autre. Par exemple, l'utilisateur croit qu'il parle au nas, mais en fait c'est un vilain qui se fait passer pour lui. Vous lui balancez plein d'infos.


Il ne faut pas tomber dans la paranoïa, mais un minimum de protection est nécessaire. Si vous laissez votre vélo dans Barbes, vous avez de fortes chances qu'on vous le vole. Avec un petit antivol décathlon, moins. Avec un gros U de moto, presque aucune chance. Mais de toute manière, si on veut vraiment voler votre vélo, quelque soit l'antivol, on y arrivera, ça prendra juste plus de temps et de moyen. La question est de savoir qui et pourquoi quelqu'un mettrait des moyens énormes pour braquer votre pauvre machine avec des photos de vacances. Et si c'est le cas, je pense que vous avez des problèmes plus importants à régler que la sécurisation de votre nas et que vous n'en êtes pas à lire un tuto de noob :o

 

On va donc régler tout ça en cryptant les informations qui circulent et en authentifiant les acteurs.

 

Pour le cryptage, il suffit (grossièrement :o) de passer par une connexion sécurisée cryptée. En général, les ports par défaut http et https sont respectivement 80 et 443. Dans les normes, ils sont quasiment toujours configurés comme implicites. Ca veut dire qu'on a pas besoin de les saisir. http://google.fr:80 par exemple.

 

Nous, on va donc passer toutes nos requêtes sur le port 443 via le protocole https. On fait donc écouter la box sur le port 443 qu'on transfert vers le port 5000 du nas (pour le moment). Et on ajoute un s à http.

 

Ce qui donne https://mondomaine.com.

 

Mais là, votre navigateur devrait vous donner un message d'avertissement en vous spécifiant que ok, la connection est cryptée, mais on est pas surs de qui est en face. Est-ce vraiment bien votre nas et pas un vilain qui intercepte la connexion ?

 

Petit rappel sur le cryptage :

 

Alice veut envoyer un message à Bob.
Alice ==> "Bonjour Bob" ==> Bob.

 

Alice veut crypter le message pour que personne ne l'intercepte. Elle créé un algorithme qui va encoder le message grace à une clé privée. Cette même clé sert aussi à décoder le message. Les deux interlocuteurs la possède.
Alice crypte "Bonjour Bob" + "cle" = "XrezjIN"
Alice envoie "XrezjIN" à Bob
Bob connait "cle" et "XrezjIN", il arrive via l'algo à déterminer le message "Bonjour Bob"

 

Il se pose deux soucis :

  • Comment diffuser la clé à notre interlocuteur sans qu'on la vole.
  • Si on a plusieurs interlocuteurs, par exemple Bob et Charlie, alors les deux possèdent la même clé et peuvent décoder le message de l'autre. Mais ce que Charlie raconte à Alice, on a pas forcément envie que Bob le sache, surtout si les interlocuteurs ne sont pas des amis que vous connaissez, comme un site de vente en ligne qui discute avec des milliers de clients. Si un client communique ses coordonnées bancaires, il veut bien que le site marchand les lise, mais pas les autres clients.


On utilise alors le cryptage avec une clé privée et et une clé publique. Alice est la seule à posséder la clé privée. Elle distribue une clé publique différente à tous ses interlocuteurs.
Ainsi, Alice peut écrire un message, le crypter avec sa clé privée et il sera lisible par toutes les clés publiques. Mais si Bob décide d'écrire à Alice, il crypte son message avec sa clé publique. Alice est capable de décrypter toutes les clés publiques avec sa clé privée. Charlie ne peut décrypter que la clé privée d'Alice mais pas les clés publiques des autres.

 

Alice crypte "Bonjour Bob" + "cle privée" = "XrezjIN"
Alice envoie "XrezjIN" à Bob
Bob connait "cle public de bob" et "XrezjIN", il arrive via l'algo à déterminer le message "Bonjour Bob"

 


Bob veut envoyer "Bonjour Bob" à Alice :
Bob crypte "Bonjour Bob" + "cle publique" = "sdZEe" (différent de "XrezjIN" vous noterez !)
Alice connait "cle privée" et "sdZEe", elle arrive via l'algo à déterminer le message "Bonjour Bob"
Charlie connait "cle public de Charlie" et "sdZEe", l'algo va lui donner n'importe quoi "zregry"

 

Les certificats reposent sur ce principe.
Alice, c'est le nas, Bob et Charlie, ce sont les navigateurs depuis lesquels vous vous connectez au nas.
On peut générer un certificat via le DSM dans "Paramètre de DSM" -> "Certificat" -> "Créer un certificat".
Une fois qu'il est créé, il faut l'exporter (bouton "Exporter le certificat" ). Et sur les machines qui veulent se connecter, on doit importer le certificat que vous venez d'exporter. Sur mac, c'est un "trousseau" propre à l'OS qui gère les certificats. Sur Windows, c'est chaque navigateur qui doit importer le certificat.

 

Une fois que c'est fait, vous n'avez plus de warning, vous êtes surs de parler à votre nas et que ce qui se dit entre vous est crypté et ne peut pas être décrypté par quelqu'un d'autre. C'est ce qu'on appelle un certificat auto-signé (signé par vous même sur votre nas).

 

Ca marche bien mais le souci, c'est qu'il faut enregistrer tous les postes/navigateurs clients un par un. Si vous donnez l'url https://mondomaine.com/photo/ à votre grand mère, elle va tomber sur le warning et se dire "houla un virus, j'ouvre pas". Pas top.

 

La solution c'est de passer par un certificat d'un tiers de confiance. C'est à dire un organisme connu de tous qui a des accords avec à peut près tous les navigateurs etc. C'est donc à lui qui vous demandez de créer un certificat.

 

Comment créer un certificat chez startSSL => http://furie.be/news/33/15/Synolog [...] ifiee.html

 

Il vous fourni une clé privée et un certificat que vous devez importer dans "Paramètres de DSM". Cette fois-ci, pas besoin d'exporter car le navigateur client qui se connecte à votre nas reconnait que c'est un certificat fourni par startSSL et les clés publiques sont déjà paramétrées.

 

C'est gratuit pour les certificats de classe 1. On aurait tort de s'en priver. Par contre, il faut les renouveler tous les ans. startSSL fourni des certificats uniquement sur les sous domaines en classe 1 (info à confirmer). On doit donc créer chez son fournisseur de domaine un sous domaine. Par exemple nas.mondomaine.com
C'est en général gratuit et immédiat.

 

Bon, on arrive à accéder à notre nas depuis l'extérieur, via un nom de domaine, sur une connexion sécurisée et sans message d'avertissement via https://nas.mondomaine.com:5001 mais :

  • C'est embêtant de rentrer le numéro de port
  • Je voudrais passer toutes mes requêtes par le port 80 ou 443 pour y accéder du boulot.


5/ Router ses requêtes avec HAProxy
Ce qu'on veut faire :
plutôt que taper https://nas.mondomaine.com:5000 ou https://nas.mondomaine.com:8800 pour audio par exemple, on veut taper https://dsm.mondomaine.com et https://audio.mondomaine.com

 

Tout passe par le port 443, donc on n'a pas besoin de l'écrire.

 

Première étape : Installer HAProxy.
C'est un paquet distribué par SynnoCommunity. Pour savoir comment installer le paquet => http://www.synocommunity.com/faq

 

Deuxième étape : routage des ports de la box.
On ne va plus s'embêter à router les ports de toutes les applications de la box vers le nas. On va juste router 80 et 443 vers les deux ports d'écoute d'HAProxy sur le nas, respectivement 5080 et 5443.

 

On va également activer les ports http et https de chaque application avec qui on veut communiquer. 8800 et 8801 pour audio par exemple.

 

Et là, comme par magie, vous verrez que sans rien faire, les adresses https://audio.mondomaine.com, https://dsm.mondomaine.com, https://file.mondomaine.com etc... fonctionnent.

 

Dans sa configuration de base, HAProxy repose sur 3 notions :

  • Les frontends. Ce sont les requêtes qu'il reçoit
  • Les backends. Ce sont les services à qui il communique
  • Association. C'est ce qui sert à associer un frontend à un backend en suivant une certaine règle.


Dans la configuration par défaut il y a deux frontends : http sur 5080 et https sur 5443. Il y a aussi une multitude de backends qui correspondent aux appli de DSM.
Pour chaque backend, il y a une règle d'association écrite :

 

par exemple frontend https, backend audio, condition if { hdr_beg(Host) -i audio. }
Littéralement, ça veut dire que si la requête accueillie par https sur le port 5443 vient d'un nom de domaine qui commence par audio. alors, on fait on renvoie ça à l'appli audio.

 

https://dsm.mondomaine.com => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:5000 (comme ce qu'on tapait tout au début)
https://audio.mondomaine.com => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800

 

En rouge, la communication cryptée.

 

C'est pas plus compliqué que ça. Pas de configuration manuelle dans des fichiers, tout se passe sur la petite interface HAProxy.

 

Là on est pas mal, mais on a un petit souci encore. On travaille sur des noms de domaines dsm.mondomaine.com ou encore audio.mondomaine.com et ainsi de suite. Mais chez startSSL, on a fait un certificat pour nas.mondomaine.com uniquement. Ce qui fait qu'on se tape des warnings "interlocuteur non identifié".

 

Solution 1 : Souscrire à un certificat wildcard chez startSSL. C'est payant, une 50aine d'euro pour deux ans. Il faut envoyer ses documents d'identité scannés etc. Ensuite on peut enregistrer autant de sous domaines qu'on veut.

 

Solution 2 : On renonce à la classieuse écriture du type https://audio.mondomaine.com et on passe à https://nas.mondomaine.com/audio,  https://nas.mondomaine.com/dsm,  https://nas.mondomaine.com/video ... là, pas de problème de certificat vu qu'on tape toujours sur le domaine  nas.mondomaine.com

 

Mais du coup, il faut changer les règles d'association d'HAProxy. On ne va par regarder le début de l'host mais le path. C'est à dire le chemin spécifié après le domaine.

 

On modifie frontend https, backend audio, condition if { hdr_beg(Host) -i audio. }
par frontend https, backend audio, condition if { path_beg /audio }

 

attention, il faut bien cliquer sur "Ecrire configuration" à chaque changement pour que ce soit pris en compte.
Mais ce n'est pas encore tout à fait bon parce que voilà ce qu'il va se passer :

 

https://nas.mondomaine.com/audio/ => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800/audio/

 

Ce qui va donner une belle page d'erreur 404. Ce qu'on veut nous, c'est ça :

 

https://nas.mondomaine.com/audio/ => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800

 

Donc dans le backend audio, on va écrire une règle pour qu'il remplace /audio/ par / et si on a une adresse https://nas.mondomaine.com/audio/quelque/chose/ ca donnera  http://192.168.0.1:8800/quelque/chose/

 

On ajoute reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 au backend audio. Et on fait de même pour tous les autres backends que l'on veut utiliser.

 

Attention, audio, c'est facile parce que la page par défaut, c'est / et pas /quelque/chose/. Donc ça fonctionne. Dsm par exemple, la page par défaut, c'est /webman/index.cgi et là ça ne fonctionne plus, vous avez une page 404.
Pour ça, j'ai rusé, je n'utilise pas https://nas.mondomaine.com/dsm/, j'ai juste indiqué au frontend https que par défaut, s'il ne trouve rien dans les règles d'association, il doit appliquer le backend dsm. Du coup, j'utilise https://nas.mondomaine.com/ pour accéder au dsm.

 

Si vous avez d'autres applis qui fonctionnent comme ça, il faut trouver dans les options la valeur de home root et la remplacer par /

Message cité 4 fois
Message édité par Remigio le 04-02-2014 à 17:18:39

---------------
Everybody can succeed, all you need is to believe
n°741044
enikka
Posté le 04-02-2014 à 16:22:51  profilanswer
 
Voir ce message dans le sujet non filtré
 

[:acherpy] Merci beaucoup!
J'ai bien compris ce que faisais HAProxy grâce à toi, et ça a confirmer mes connaissances sur les redirections de ports.


---------------
I wonder if heaven got a ghetto
n°741056
aceditnana​r
Posté le 04-02-2014 à 16:56:12  profilanswer
 
Voir ce message dans le sujet non filtré
 

Merci pour les explications. :)
 
Ne peut on pas générer plusieurs certificats pour chaque sous domaine avec startSSL et se passer ainsi de http://ssdomaine.domaine.com/audio et passer par http://audio.domaine.com/ avec le certificat, même si on doit en faire a chaque fois un nouveau par sous domaine ?
 
Je n'ai pas vu l'endroit dans le tuto où il faut appuyer sur la génération de certificat sous HAProxy, mais j'ai p'tet loupé le passage ;).

n°741060
Je@nb
Modérateur
Kindly give dime
Posté le 04-02-2014 à 17:14:53  profilanswer
 
Voir ce message dans le sujet non filtré
 

aceditnanar a écrit :

Merci pour les explications. :)

 

Ne peut on pas générer plusieurs certificats pour chaque sous domaine avec startSSL et se passer ainsi de http://ssdomaine.domaine.com/audio et passer par http://audio.domaine.com/ avec le certificat, même si on doit en faire a chaque fois un nouveau par sous domaine ?

 

Je n'ai pas vu l'endroit dans le tuto où il faut appuyer sur la génération de certificat sous HAProxy, mais j'ai p'tet loupé le passage ;).

 

Sauf si tu as plusieurs IP publiques non. Enfin faut voir si haproxy gère le SNI (et que les clients le gère aussi) alors ça serait possible mais sinon non faut un wildcard car tu ne peux binder qu'un certificat à un port.


Message édité par Je@nb le 04-02-2014 à 17:15:11
n°749044
Nozdormu
Posté le 10-03-2014 à 11:21:43  profilanswer
 
Voir ce message dans le sujet non filtré
 

j'avais vu passer une explication sur haproxy plutôt bien faite sur le topic, mais je ne la retrouve pas... Quelqu'un aurait bookmarké ça ?

n°749415
Nozdormu
Posté le 11-03-2014 à 09:23:22  profilanswer
 
Voir ce message dans le sujet non filtré
 

j'ai voulu me passer de haproxy en DSM 5, impossible de créer un virtualhost apache fonctionnel sur le port 443 qui redirigerait vers l'interface d'admin :pt1cable:

n°758270
riffraff2
Posté le 10-04-2014 à 14:51:55  profilanswer
 
Voir ce message dans le sujet non filtré
 

Fender a écrit :


Ce n'est pas parce que ce port est indispensable pour le syno qu'on doit forcément l'écrire dans la barre d'adresse du navigateur, on peut écrire autre chose ;)
avec haproxy, j'accède en https à l'ensemble des applications que j'utilise (hors services purs web qui restent accessible de façon classique par port 80) :
audio.mondomaine.fr => audiostation
dsm.mondomaine.fr => dsm
download.mondomaine.fr => download station
je vais même plus loin, le syno avec haproxy installé et configuré me permet même d'accéder à d'autre appareils de chez moi, depuis l'extérieur
alarme.mondomaine.fr => mon alarme
cam1.mondomaine.fr => cam de surveillance 1
netatmo.mondomaine.fr => station netatmo
remdesk.mondomaine.fr => un pc en remote desktop
et tout ça au travers d'une connexion sécurisée avec un certificat auto-signé.


 
Je reviens sur HAPROXY, quelle config utilises tu pour faire focntionner le RDP avec HAproxy. Je n'y arrive pas :(
 
Merci
 

n°764028
iskonje
Goûte moi ça mon fils
Posté le 07-05-2014 à 19:03:12  profilanswer
 
Voir ce message dans le sujet non filtré
 

HAproxy est pas mal pour ça, on ouvre juste les ports 5443 et 5080 sur la box et derrière on peut faire passer tous les services qu'on veut.
Jamais eu de tentatives d'intrusions en plus d'un an.

n°768081
David7578
Posté le 22-05-2014 à 17:19:23  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bon, finalement j'ai utilisé haproxy.
Je l'avais installé, j'avais configuré les ports dans la box, mais j'avais pas fait comme il faut pour bien le faire fonctionner. Après quelques essais et erreurs, ça marche.
 
merci!

n°768116
David7578
Posté le 22-05-2014 à 18:17:46  profilanswer
 
Voir ce message dans le sujet non filtré
 

Hop, je rebondis sur haproxy:
Est il possible de sécuriser par login l'accès donné par haproxy?
Si par exemple je veux accéder à:
Service.MonSyno.synology.me, que ce service de mon réseau local n'a pas de login, j'aimerais qu'avant que la redirection haproxy se fasse, mettre en place un login.

n°807748
skatecubem​an
Posté le 07-11-2014 à 16:59:35  profilanswer
 
Voir ce message dans le sujet non filtré
 

Ou sinon un bête haproxy avec redirection du port 443 en externe vers 5443 en interne

n°810878
qwrty
BFG!
Posté le 19-11-2014 à 13:16:09  profilanswer
 
Voir ce message dans le sujet non filtré
 

Hello,
 
 je continue farfouiller mon NAS, cependant je bloque, ça depasse un peu mes compétances.
 
 J'ai un nom de domaine chez OVH => mondomaine.fr
j'ai creer un DynHOST => livebox.mondomaine.fr qui pointe vers mon IP public (dyndns ok dans DSM)
 
J'ai cré deux champ de pointage CNAME => dsm.mondomaine.fr vers livebox.mondomaine.fr
 
________________________________ => www.mondomaine.fr vers livebox.mondomaine.fr
 
 
J'ai fait pointer mon champs .mondomaine.fr vers mon IP public (TYPE A) ( je ne sais pas si c'est vraiment utilile vu que mon IP change)
 
 
Je voudrais acceder via dsm.mondomaine.fr à l'interface DSM de mon NAS et via www.mondomaine.fr a mon site hebergé sur le NAS dans un premier temps en http pour les deux.
 
Donc redirection de 80 vers 5080 sur le routeur.
Ouverture du port 5080/5000 sur le firewall du NAS.
 
Configuration de HAProxy:
 
frontend => par défaut, j'ai juste supprimer le backend par défaut qui été "web" )
 
backend => par défaut également sur dsm ( dsm localhost:5000 check)
association => frontend http backend dsm if { hdr_beg(Host) -i dsm. }
 
En tapant http://dsm.mondomaine.fr
 
normalement je devrais tomber sur le message d'erreur qui me dit que cette page n'autorise que les connexion https, mais je tombe sur mon site web... (j'ai desactivé la redirection automatique dans DSM, mais j'ai activé HTTPS)
 
Chose étrange, la toute premiére fois ca a marché, mais plus maintenant, par contre quand je tape www.mondomaine.fr ca marche, j'arrive bien sur mon site web.
 
Une idée ?
 
Merci d'avance.


Message édité par qwrty le 19-11-2014 à 13:19:10

---------------
[VDS] Embouts de watercooling 10/16 | ~Feed-Back
n°810915
skatecubem​an
Posté le 19-11-2014 à 15:00:15  profilanswer
 
Voir ce message dans le sujet non filtré
 

aceditnanar a écrit :

Je croyais que startSSL  en gratuit ce n'est pas reconnu (obligé de passer par l'écran : je comprend les risques etc..) quand tu accèdes au NAS. (le truc que madame Michu ne sait pas passer...) Et qu'il fallait toujours un certif SSL payant pour que ca n'apparaisse plus.. Me suis je trompé ?
 
Et que le certif gratos ne peut pas être attribué à l'ensemble du nom de demain mais qu'à un sous domaine et qu'en quelque sorte tu es marron quand tu en veux plusieurs... par exemple quand tu fais du reverseProxy avec plusieurs sous domaines etc...
Là ca a l'air d'introduire quelque chose sur le domaine entier et gratuit...
 
Si je me trompe je veux bien qu'on me corrige :).


 
T'as le droit à "domaine.fr" + un sous domaine (typiquement "www.domaine.fr" )
 
J'utilise un certif startSSL avec haproxy et pour tout ce qui commence par "domaine.fr" ou "www.domaine.fr" je n'ai pas l'avertissement mais bien un petit cadenas vert dans la barre d'adresse.
 
Du coup j'ai configuré haproxy pour utiliser le format "https://www.domaine.fr/tvheadend" ou "https://www.domaine.fr/nzbget" et tout roule :)

n°811078
qwrty
BFG!
Posté le 19-11-2014 à 21:46:20  profilanswer
 
Voir ce message dans le sujet non filtré
 

ok, je vais attendre gentillement alors.
 
Sinon j'ai réussis a m'en sortir avec haproxy tout fonctionne comme je veux.
Sauf que j'avais pas penser au appli mobile DS (ds audio, ds video...) ducoup plus aucune ne marche vu que j'ai fermer tout les ports de la box... (sauf 443 vers 5443 et 80 vers 5080)
Elles ont besoin du port 5000/5001...
 
Une idée ?

Message cité 1 fois
Message édité par qwrty le 19-11-2014 à 21:47:39

---------------
[VDS] Embouts de watercooling 10/16 | ~Feed-Back
n°811132
qwrty
BFG!
Posté le 20-11-2014 à 09:18:05  profilanswer
 
Voir ce message dans le sujet non filtré
 

Deadlock a écrit :

Qu'est ce qui écoute sur le 5443 de ton Syno ??


 
haproxy
 
Du monde arrive à faire fonctionner shellinabox avec haproxy ?

Message cité 1 fois
Message édité par qwrty le 20-11-2014 à 09:20:56

---------------
[VDS] Embouts de watercooling 10/16 | ~Feed-Back
n°811155
Deadlock
Feck off, cup !
Posté le 20-11-2014 à 10:05:18  profilanswer
 
Voir ce message dans le sujet non filtré
 

qwrty a écrit :


 
haproxy
 
Du monde arrive à faire fonctionner shellinabox avec haproxy ?

Je sais pas comment se configure haproxy mais avec le reverse proxy apache je l'ai configuré comme ça:
 

olivier@rpi:~$ cat /etc/apache2/sites-available/siab-https
ErrorLog /var/log/apache2/siab-https.log
<VirtualHost *:443>
ServerName siab.xxxxxxxxxx.org
SSLEngine On
SSLProxyEngine On
ProxyRequests Off
ProxyVia Off
ProxyPreserveHost On
SSLCertificateFile /etc/apache2/apache.pem
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
   ProxyPass / https://192.168.1.200:4200/                                                                                                                    
   ProxyPassReverse / https://192.168.1.200:4200/                                                                                                              
</VirtualHost>


---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
n°811515
qwrty
BFG!
Posté le 21-11-2014 à 07:50:02  profilanswer
 
Voir ce message dans le sujet non filtré
 

:hello:
 
j'ai un petit soucis avec haproxy, j'avais bien réussis à le faire fonctionner, mais cela ne marche plus mnt , je ne sais pas pourquoi :cry:  
enfin juste avec gateone et mon site web sur le nas
 
Impossible de me co au dsm, audio et video.
 
Voila ma conf:
 

Citation :

frontend http
 bind :5080
 option http-server-close
 option forwardfor
 redirect scheme https
 
frontend https
 bind :5443 ssl crt /usr/local/haproxy/var/crt/default.pem ciphers AESGCM+AES128:AES128:AESGCM+AES256:AES256:RSA+RC4+SHA:!RSA+AES:!CAMELLIA:!aECDH:!3DES:!DSS:!PSK:!SRP:!aNULL no-sslv3
 option http-server-close
 option forwardfor
 rspirep ^Location:\ http://(.*)$    Location:\ https://1
 rspadd Strict-Transport-Security:\ max-age=31536000;\ includeSubDomains
 use_backend web if { path_beg /web }
 use_backend gateone if { path_beg /gateone }
 use_backend audio if { path_beg /audio }
 use_backend video if { path_beg /video }
 use_backend nas if { hdr_beg(Host) -i nas. }
 default_backend nas
 
backend web
 reqrep ^([^\ :]*)\ /web/(.*)     \1\ /\2
 server web localhost:80 check
 
backend gateone
 server gateone localhost:8271 ssl check verify none
 
backend audio
 reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2
 server audio localhost:8800 check
 
backend video
 reqrep ^([^\ :]*)\ /video/(.*)     \1\ /\2
 server video localhost:9007 check
 
backend nas
 server nas localhost:5000 check
 


 
nas.mondomaine.fr me renvois une page non trouvable mais me dirge bien en https://nas.mondomaine.fr/webman/index.cgi
nas.mondomaine.fr/audio/ me renvois une page plage, mais charge un truc
nas.mondomaine.fr/video/ idem.
 
nas.mondomaine.fr/web/ OK
nas.mondomaine.fr/gateone/ OK
 
Qu'est ce qui foire dans ma conf ?
 
 :jap:
 
EDIT: J'ai tester en repassant en mode => audio.mondomaine.net, idem, ecran blanc, mais la redirection vers https se fait bien et ca fait mine de charger qqch puis page blanche...
 
Je ne comprends vraiment pas le soucis, surtout que ca marcher bien avant. Et que ca fonctionne pour gateone et mon site web...  :cry:  


Message édité par qwrty le 21-11-2014 à 10:36:35

---------------
[VDS] Embouts de watercooling 10/16 | ~Feed-Back
n°811625
qwrty
BFG!
Posté le 21-11-2014 à 13:57:15  profilanswer
 
Voir ce message dans le sujet non filtré
 

Je viens au news, j'ai un peu avancer, j'ai repris toute la conf de haproxy à la mano, etape par etape.
 
Tout marche enfin mais...
j'ai le DynHOST de Synology.
 
j'ai un DynHOST chez OVH => livebox.mondomaine.fr vers mon IP.
+ 2 CNAME (entre autre) configurer dans ma zone DNS:
nas.mondomaine.fr => livebox.mondomaine.fr
www.mondomaine.fr => livebox.mondomaine.fr
 
Jusque là OK.
 
avec le dynhost de syno, tout est ok, j'accede a mes appli via le path.
 
avec le dynhost de ovh, tout est ok, sauf pour acceder à mon serveur web...
 
j'en deduis que le soucis vient de ma zone DNS chez OVH.
Mais je ne vois pas d'où, sachant qu'en plus avant j'arrivais à acceder à mon serveur web par nas.mondomaine.fr/web/ maintenant j'ai un erreur "page introuvable" renvoyer par le serveur web du synology, donc je tape bien dedant, mais pas à la bonne page alors qu'avec le dynhost de synology ca marche nikel.
 
:pt1cable: :pt1cable:


Message édité par qwrty le 21-11-2014 à 14:05:50

---------------
[VDS] Embouts de watercooling 10/16 | ~Feed-Back
n°811638
TheGlandoM​an
ThinkPad Powered
Posté le 21-11-2014 à 14:16:05  profilanswer
 
Voir ce message dans le sujet non filtré
 

Hello,
 
Est-ce que certains d'entre vous utilisent le package Synology Proxy Server ?
 
Est-ce qu'il peut avoir le même usage que HaProxy, à savoir si j'ai bien compris, la possibilité d'accéder à l'ensemble des services du NAS via un seul et même port ou bien n'ai-je rien compris ? :)
 
Merci à tous de vos feedbacks !


---------------
Mon feedback sur le forum : http://forum.hardware.fr/hfr/Achat [...] 7072_1.htm
n°822246
aceditnana​r
Posté le 06-01-2015 à 17:37:29  profilanswer
 
Voir ce message dans le sujet non filtré
 

nada_lyon a écrit :


Ca à l'air parfait ca ! je creuse ...
Merci


 
Tu à Haproxy qui semble faire cela bien aussi... C'est un package a installer... faut que j'essaie...

n°822270
aceditnana​r
Posté le 06-01-2015 à 18:15:23  profilanswer
 
Voir ce message dans le sujet non filtré
 

Remigio a écrit :


[...]

 

Donc dans le backend audio, on va écrire une règle pour qu'il remplace /audio/ par / et si on a une adresse https://nas.mondomaine.com/audio/quelque/chose/ ca donnera  http://192.168.0.1:8800/quelque/chose/

 

On ajoute reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 au backend audio. Et on fait de même pour tous les autres backends que l'on veut utiliser.

 

Attention, audio, c'est facile parce que la page par défaut, c'est / et pas /quelque/chose/. Donc ça fonctionne. Dsm par exemple, la page par défaut, c'est /webman/index.cgi et là ça ne fonctionne plus, vous avez une page 404.
Pour ça, j'ai rusé, je n'utilise pas https://nas.mondomaine.com/dsm/, j'ai juste indiqué au frontend https que par défaut, s'il ne trouve rien dans les règles d'association, il doit appliquer le backend dsm. Du coup, j'utilise https://nas.mondomaine.com/ pour accéder au dsm.

 

Si vous avez d'autres applis qui fonctionnent comme ça, il faut trouver dans les options la valeur de home root et la remplacer par /

 


Merci pour ce tuto sympa et très précis, je l'avais dans mes favoris :). J'aurai quelque questions...

 

Cependant, je n'ai pas trop compris l'expression reg... peux tu l'expliquer ?

 

Pour ta dernière phrase (en bleu ci dessus), je n'ai pas compris le rapport entre une URL originale de la forme /toto vers /quelque/chose/ et la diriger sur la bonne application si on a deja l'astuce de diriger le nom de sous domaine vers le DSM par defaut.

 

Depuis le temps, est il possible d'après toi de lire /DSM et de le remplacer par une chaine de caractère en dur dans la config Haproxy pour remplacer par webman/index.cgi?

 

Je crois qu'on peut aussi mettre un .htacces sur Haproxy afin de protéger les applis/pages sans login sur le NAS ou celle que l'on veut protéger... Je n'ai pas encore creusé et je en sais pas si c'est applicable au backend près...
Je n'ai pas trouvé de blocage IP sur des tentatives répété de pages non existantes... Ça existe a quelque part dans la configuration ?

 

PS : je suis comme toi, je ne vais pas passer par un wildcard encore... Et je pense utiliser le sous domaine www.domaine.fr pour être plus propre avec des path derrière.

Message cité 1 fois
Message édité par aceditnanar le 06-01-2015 à 18:16:54
n°822380
nada_lyon
Posté le 07-01-2015 à 10:04:37  profilanswer
 
Voir ce message dans le sujet non filtré
 

Cette merveille :
http://img1.assistance-numericable.fr/IMG/jpg/CBV734EW-front.jpg
(Castlenet CBV734EW)
 
J'ai laissé tombé HaProxy, j'ai bidouillé un proxy apache, ça marche à peu près (j'ai constaté qq trucs louches sous videostation par ex.). A peaufiner.

n°824180
iskonje
Goûte moi ça mon fils
Posté le 16-01-2015 à 18:40:18  profilanswer
 
Voir ce message dans le sujet non filtré
 

Pareil, aucune IP bloquée (config par défaut à 5 tentatives sous 5 minutes et pas de géolocalisation activée) alors que j'ai une palanquée de services qui tournent et qu'ils sont tous accessibles depuis l'extérieur.
 
Avec HAProxy, il y a juste besoin d'ouvrir deux ports, et ils ne doivent pas rentrer dans les ports scannés en standard par les piratins.


Message édité par iskonje le 16-01-2015 à 18:42:05
n°824235
tarteens
Posté le 17-01-2015 à 11:21:27  profilanswer
 
Voir ce message dans le sujet non filtré
 

Hello,

 

j'ai un petit pb de configuration de reverse proxy, j'ai installé HAProxy sur mon synology, modifier les différents ports de la config pour matcher avec mes services.

 

Tout fonctionne bien : https://dsm.XXXX.synology.me retourne bien vers l'interface DSM,
https://transmission.XXXX.synology.me pareil cava bien sur transmission

 

parcontre impossible de faire fonctionner sickbeard (pourtant la config ma parait correct) je suis redirigé vers le backend par default (webstation).

 

Une idée ? ou sont les logs de redirection d'haproxy ?

 

merci d'avance.

 

Edit: Okay je suis un gros noob..pas vu qu'il fallait appuier sur le bouton "Ecrire Configuration"


Message édité par tarteens le 17-01-2015 à 11:38:36

---------------
il y a 10 types de personnes, ceux qui comprennent le binaire, et les autres - GGTracker - Tarteens #2796 - DBZ Dokkan Battle - Box @ 900 days
n°836393
iskonje
Goûte moi ça mon fils
Posté le 11-03-2015 à 18:58:56  profilanswer
 
Voir ce message dans le sujet non filtré
 

doum a écrit :

Quelqu'un connait un moyen propre de rediriger (dans webstation) toutes les requetes http vers du https ?
 
j'ai quelques sites hébergés sur mon syno
J'ai installé le certificat qui va bien. le https marche nickel
maintenant je voudrais que les gens qui accedent aux sites en http soit renvoyé vers du https
 
Je pensais activer le HSTS, je pensais que son role c'etait ca, mais ca ne marche pas


 
J'utilise HAProxy pour ça, fourni par synocommunity :o

n°836484
doum
Mentalita nissarda
Posté le 11-03-2015 à 22:45:17  profilanswer
 
Voir ce message dans le sujet non filtré
 

Merci pour haproxy ca marche :)
J'ai suivi ce tuto
http://www.nas-forum.com/forum/top [...] r-le-fofo/

n°838628
Flipper203
Posté le 19-03-2015 à 10:30:37  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bonjour,  
j'essaye, via haproxy, d'acceder a mon interface dsm ou a gateOne.  
A partir de mon dydns https://xxx.domaine.synology.me avec xxx étant dsm ou gateone, j'arrive bien sur les applications voulues.  
Par contre, j ai également un domaine chez ovh, en dyndns toujours (merci la livebox). Ce dynsns est en dsm.domaineovh.eu, var j'ai également des declarations de type A vers d'autres serveurs.  
Comment faire pour accéder de la même manière que via www.domaine.synoogy.me via mon domaine ovh ? (je dois utiliser ovh car je n'ai pas acces aux synology.me a partir du taff)
Merci pour votre aide

n°838686
Fender
♪♫♪♫♪♫♪
Posté le 19-03-2015 à 12:44:35  profilanswer
 
Voir ce message dans le sujet non filtré
 

Il faut juste déclarer les CNAME de tes sous domaines dans ta zone dns et utiliser les mêmes que dans la gestion des sous domaines du syno et d'haproxy

Message cité 1 fois
Message édité par Fender le 19-03-2015 à 13:18:40

---------------
we are the dollars and cents
n°840015
Flipper203
Posté le 24-03-2015 à 16:58:50  profilanswer
 
Voir ce message dans le sujet non filtré
 

Fender a écrit :


Là où tu as enregistré ton nom de domaine, il faut rajouter des cname dans ton fichier de zone dns


 
Pour rappel, j'accede a mon nas avec dsm.domaineovh.eu
 
Ok, j'ai rentré ca dans ma zone dns:  
domaine: gateone.domaineovh.eu.
type: CNAME
Cible: dsm.domaineovh.eu.
 
avec dans haproxy une regle pour rediriger gateone.domaineovh.eu vers le gateone avec le bon port
 
Je vais tester ce soir. Cela vous parait cohérent?

n°868436
aceditnana​r
Posté le 22-08-2015 à 19:46:11  profilanswer
 
Voir ce message dans le sujet non filtré
 

Super, ca va m'aider a mettre en place cela, et je pourrai y ajouter une couche Haproxy derrière si je capte le truc :).

 

Merci bcq ! :jap:

Message cité 1 fois
Message édité par aceditnanar le 22-08-2015 à 19:48:47
n°871710
Fender
♪♫♪♫♪♫♪
Posté le 09-09-2015 à 09:18:31  profilanswer
 
Voir ce message dans le sujet non filtré
 

MilesTEG1 a écrit :


Ok merci :) J'ai bien essayé de changer mes serveurs DNS par d'autres, mais ça n'a pas fonctionné :D
 
 
Sinon pour ce que je disais juste au-dessus, j'ai peur qu'en fait ça ne fonctionne pas : j'ai ce message quand je cherche à créer une redirection depuis  
photo.monndd.ovh vers https://nas1.monndd.ovh:00000/photo/

Citation :

L'adresse ne doit pas contenir d'entête "http://". Les adresses de type "https://" ne seront pas redirigées.


Sans parler que dans l'adresse cible je ne peux pas mettre le port de connexion... J'ai du mettre ça : http://nas1.monndd.ovh/photo/
J'attends quelques minutes pour tester :D


pas compris ce que tu essaies de faire
tu l'as créée comment ta redirection ? avec un fichier htm qui redirige ou dans haproxy ?


---------------
we are the dollars and cents
n°873082
Fender
♪♫♪♫♪♫♪
Posté le 16-09-2015 à 17:42:10  profilanswer
 
Voir ce message dans le sujet non filtré
 

perso, j'accède avec dsm.mondomaine.com qui me route en https direct vers le bon port grâce à Haproxy...
ça fait plus classe :o

Message cité 1 fois
Message édité par Fender le 16-09-2015 à 17:42:38

---------------
we are the dollars and cents
n°878413
aceditnana​r
Posté le 20-10-2015 à 12:07:51  profilanswer
 
Voir ce message dans le sujet non filtré
 

:bounce: :bounce: :bounce: :bounce:
Super !!
Il y a le tutoriel Haproxy (dans un message du forum : http://forum.hardware.fr/forum2.ph [...] 1#t741030) et Celui de certificats signés StartSSL (récemment rédigé, il faudrait demander l'autorisation à l'auteur) qui seraient intéressant de citer en 1ere page :)

Message cité 1 fois
Message édité par aceditnanar le 20-10-2015 à 12:08:40
n°878788
billah2
Posté le 22-10-2015 à 16:47:42  profilanswer
 
Voir ce message dans le sujet non filtré
 

Hello,
 
je souhaite mettre en place HAProxy sur mon nas.
Je suis chez Orange (ip dynamique) et je fonctionne actuellement avec le service de Synology : synology.me. J'accède donc depuis l'extérieur à mes services avec xxxxx.synology.me
 
Je suis le tuto de Remigio
Premièrement, j'ai routé les ports dans la box :
80 > 5080
443 > 5443
 
J'ai ensuite installé HAProxy.
D'après le tuto, sans aller plus loin, je devrais pourvoir accéder au service du genre https://audio.mondomaine.com/, https://dsm.mondomaine.com/, soit chez moi https://dsm.xxxxx.synology.me
 
Je teste depuis mon smartphone, ça n'a pas l'air de fonctionner.
Une idée du problème ?
C'est à cause du "sous sous" domaine dsm.xxxxx.synology.me ?
 
 :jap:


---------------
La dictature c’est "Ferme ta gueule !", la démocratie c’est "Cause toujours !"
n°878797
aceditnana​r
Posté le 22-10-2015 à 18:19:02  profilanswer
 
Voir ce message dans le sujet non filtré
 

Je pense que tu es sur la bonne voie... Mais je ne suis pas un spécialiste de Haproxy.. Il faut que je m'y mette aussi.
 
Perso j'ai pris un nom de domaine OVH à pas cher et roulez jeunesse. Le DDNS Synology a des soucis des fois... mais il a le mérite d'être gratuit :pt1cable: ...

n°878819
billah2
Posté le 22-10-2015 à 21:55:19  profilanswer
 
Voir ce message dans le sujet non filtré
 

billah2 a écrit :

Hello,
 
[.....]
 
Je teste depuis mon smartphone, ça n'a pas l'air de fonctionner.
Une idée du problème ?
C'est à cause du "sous sous" domaine dsm.xxxxx.synology.me ?
 
 :jap:


 

aceditnanar a écrit :

Je pense que tu es sur la bonne voie... Mais je ne suis pas un spécialiste de Haproxy.. Il faut que je m'y mette aussi.
 
Perso j'ai pris un nom de domaine OVH à pas cher et roulez jeunesse. Le DDNS Synology a des soucis des fois... mais il a le mérite d'être gratuit :pt1cable: ...


 
Ca fonctionne, même avec xxxx.synology.me  [:shay]  
 
J'avais fait une boulette  [:shit hahat]  Quand HAProxy s'installe, il y a une notification du pare-feu pour ouvrir le port 8280. et je croyais aussi les ports 5080 et 5443. mais en fait non
Une fois ouvert ça va mieux  :)  
 


---------------
La dictature c’est "Ferme ta gueule !", la démocratie c’est "Cause toujours !"
n°879081
billah2
Posté le 25-10-2015 à 03:35:49  profilanswer
 
Voir ce message dans le sujet non filtré
 

Remigio a écrit :


 
https://nas.mondomaine.com/audio/ => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800/audio/
 
Ce qui va donner une belle page d'erreur 404. Ce qu'on veut nous, c'est ça :
 
https://nas.mondomaine.com/audio/ => Box sur le port 443 => HAProxy sur le port 5043 => http://192.168.0.1:8800
 
Donc dans le backend audio, on va écrire une règle pour qu'il remplace /audio/ par / et si on a une adresse https://nas.mondomaine.com/audio/quelque/chose/ ca donnera  http://192.168.0.1:8800/quelque/chose/
 
On ajoute reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 au backend audio. Et on fait de même pour tous les autres backends que l'on veut utiliser.
 


 
Je galère à faire fonctionner HAProxy avec des if { path_beg /audio } par exemple
Comme dans le tuto, j'ai ajouté reqrep ^([^\ :]*)\ /audio/(.*)     \1\ /\2 dans les options du backend Audio.
Certes je ne tombe pas sur une 404, mais sur une page blanche (si j'affiche le code source de la page y a du contenu pourtant  :o )
 
Une idée du problème ?


---------------
La dictature c’est "Ferme ta gueule !", la démocratie c’est "Cause toujours !"
n°879668
billah2
Posté le 29-10-2015 à 02:06:49  profilanswer
 
Voir ce message dans le sujet non filtré
 

J'ai un problème avec mon certificat / domaine ovh / haproxy
 
j'ai donc un certif pour nas.xxxx.ovh
avec haproxy, j'ai des associations du type : video.nas.xxxx.ovh, dsm.nas.xxxx.ovh, etc....
 
Depuis le taff :  
- j'ai essayé depuis un pc (proxy) : pas de problème pour accéder au différents services en https (juste l'alarme pour les domaines xxxx.nas), testé via Chrome.
- depuis un autre pc (même proxy) : chrome accepte pour video.nas... mais pas pour dsm, et firefox refuse tous les sous domaines xxxx.nas
erreur :  
Vous avez demandé à Firefox de se connecter de manière sécurisée à video.nas.xxxx.ovh, mais nous ne pouvons pas confirmer que votre connexion est sécurisée.
Si vous vous connectez habituellement à ce site sans problème, cette erreur peut signifier que quelqu'un essaie d'usurper l'identité de ce site et vous ne devriez pas continuer.
Ce site a recours à HTTP Strict Transport Security (HSTS) pour indiquer à Firefox de n'établir qu'une connexion sécurisée. Ainsi il n'est pas possible d'ajouter d'exception pour ce certificat.

 
Depuis chez moi :
même chose, Chrome accepte https://video.nas.xxx.ovh (juste l'avertissement de sécurité), mais bloque dsm par exemple.
Firefox bloque tout.
Erreur HSTS.
 
J'ai désactivé l'option HSTS dans Réseau > Paramètre DSM et dans Service Web > Service HTTP
Un idée du problème ? ça coince où ? ovh, Synology, haproxy ? bizarre que ça fonctionne pour video et pas le reste.
 
 
 


---------------
La dictature c’est "Ferme ta gueule !", la démocratie c’est "Cause toujours !"
n°881254
aceditnana​r
Posté le 05-11-2015 à 23:53:50  profilanswer
 
Voir ce message dans le sujet non filtré
 

Ok Babble, j'avais pas vu où c’était c'est dans l'overview des disques et pas dans les actions de gestion des disques. Tout est ok :).
 
Je vais faire ce qu'il faut pour remplacer le V1 à la mano. Je pense donc faire une sauvegarde V1 sur le V2, changer de disque, et ensuite faire un restaure des données. Jamais fait, mais ca doit etre assez simple et automatisé la sauvegarde du V1 et du restore.
 
Pourrais je avoir ton avis, mais aussi pourquoi pas celui d'autres intervenant de ce sujet :) sur une config differente que j'envisage ?
Sinon, j'ai 3x4To (nouveau) et bientôt 3x2To ou 2x3To de libre. J'ai peut être l’opportunité de prendre un nas 8 Baies. Donc je me pose la question de repartir sur cette base...
Je vais utiliser le NAS pour partage de photo en famille (photo station), cloud privé (documents administratifs numérisés, document des PC de la famille, Répertoire de sauvegarde des photos de mon reflex), syncho calendrier et contact des téléphones, serveur ebook (hypothétique, si je m'équipe et que je m'en achète), un serveur DLNA dédié musique + dématérialisation HD de mes albums, et des vidéos numérisées Famille et loisir (les classiques) accompagné des paquets de diffusion qui vont bien. Le tout derrière Haproxy + HTTPS + NDD pour l'accès extérieur.  
Un DD de sauvegarde USB pour données irremplaçables + une sauvegarde externalisée prévue completerons à terme l'ensemble.
 
Qu’envisagerais tu comme organisation de volumes du NAS. J'envisageai de partir sur un SHR des 3X4TO pour les contenus avec accès quotidien et avoir de la place unie. Pour les autres un SHR 3X2TO ?
 
Si tu as une idée ou des remarques je veux bien les lire :).
 
Merci de ton temps de lecture et de tes précédentes réponses. :jap:  

n°897098
qwrty
BFG!
Posté le 24-11-2015 à 20:41:20  profilanswer
 
Voir ce message dans le sujet non filtré
 

Tout a fait. Une fois le tunnel monté il faut faire les redirection de port local des service voulu.

 

Un petit reverse proxy (haproxy par ex) permet d'accéder a tout les service du syno avec seulement un port ouvert sur la box.


---------------
[VDS] Embouts de watercooling 10/16 | ~Feed-Back
n°900952
korbylesbo​nstuyaux
Posté le 19-12-2015 à 14:12:10  profilanswer
 
Voir ce message dans le sujet non filtré
 

J'ai réussi à mettre en place Haproxy :bounce:  
Aucun souci sauf Plex où il faut que je rajoute "manage" à la fin de l'url.
https://plex.domaine.ovh/manage
J'ai testé avec un backend du type : plex localhost:32400/manage check.
Même chose.
 
Au final ça fonctionne c'est ce qui compte mais si quelqu'un a réussi à mettre une option dans le backend pour éviter çamerci de le faire savoir. :jap:


---------------
Mes Feedbacks HFR - Xbox Live GT : Korb  - 12 ans de LIVE
n°901025
balooforev​er
Les ours domineront le monde !
Posté le 20-12-2015 à 08:12:41  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bonjour à tous,
 
Je vois que vous parlez pas mal de haproxy pour gérer les dns (j ai l impression), pouvez vous me dire l intérêt par rapport au package dns du Syno ?

Message cité 1 fois
Message édité par balooforever le 20-12-2015 à 08:13:13

---------------
Mon topic Achat / Vente -- Feedback
n°901027
Deadlock
Feck off, cup !
Posté le 20-12-2015 à 08:20:35  profilanswer
 
Voir ce message dans le sujet non filtré
 

balooforever a écrit :

Bonjour à tous,
 
Je vois que vous parlez pas mal de haproxy pour gérer les dns (j ai l impression), pouvez vous me dire l intérêt par rapport au package dns du Syno ?


Je pense que si Haproxy gérait les dns il s'appellerait Hadns :o


---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
n°905729
Fender
♪♫♪♫♪♫♪
Posté le 25-01-2016 à 16:37:07  profilanswer
 
Voir ce message dans le sujet non filtré
 

mafiaman42 a écrit :


Bonne nouvelle, car je l'ai essayé en beta, c'était encore pas sec ce truc. D'autant plus quand on utilise un reverse proxy avec de multiples sous domaines


j'avais réussi, mais c'était relou effectivement
 
à ce propos, parait qu'il y a un vrai reverse proxy dans la beta 6 aussi, qui permet de se passer d'haproxy, j'ai pas essayé avec mon actuel, mais demain je reçois mon 716+ et je mettrai direct la Beta 2 pour tester let's encrypt et le reverse proxy


---------------
we are the dollars and cents
n°905731
mafiaman42
Posté le 25-01-2016 à 16:59:07  profilanswer
 
Voir ce message dans le sujet non filtré
 

Fender a écrit :


j'avais réussi, mais c'était relou effectivement
 
à ce propos, parait qu'il y a un vrai reverse proxy dans la beta 6 aussi, qui permet de se passer d'haproxy, j'ai pas essayé avec mon actuel, mais demain je reçois mon 716+ et je mettrai direct la Beta 2 pour tester let's encrypt et le reverse proxy


J'ai également le DS716+... mais en 5.2. Je pense que je vais attendre la version finale de 6.0 avant d'y passer.
Concernant le reverse proxy, j'utilise nginx qui déjà installé... qu'entends tu par "vrai reverse proxy" ? C'est un peu le cas de HAproxy non ?

n°905735
Fender
♪♫♪♫♪♫♪
Posté le 25-01-2016 à 17:11:59  profilanswer
 
Voir ce message dans le sujet non filtré
 

mafiaman42 a écrit :


J'ai également le DS716+... mais en 5.2. Je pense que je vais attendre la version finale de 6.0 avant d'y passer.
Concernant le reverse proxy, j'utilise nginx qui déjà installé... qu'entends tu par "vrai reverse proxy" ? C'est un peu le cas de HAproxy non ?


oui, pardon, mauvais usage, je voulais dire "intégré"
nginx est effectivement installé mais faut aller faire la config à la main alors quand la 6, y'a un frontend apparemment (mais qui marche pas toujours bien dans la beta)
 
ceci dit, je gagnerais p't'être à récup un tuto nginx et désinstaller haproxy


---------------
we are the dollars and cents
n°906223
Fender
♪♫♪♫♪♫♪
Posté le 28-01-2016 à 10:48:37  profilanswer
 
Voir ce message dans le sujet non filtré
 

y'a même moyen de n'avoir que 80/443 (plus les ports des services mail si t'utilises mailserver) avec un domaine et en faisant de la redirection via haproxy ou nginx (dsm.mondomaine.com pour dsm, video.mondomaine.com pour videostation etc.)


---------------
we are the dollars and cents
n°915485
zx81
Posté le 24-03-2016 à 10:10:24  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bonjour à tous,
 
j'ai testé la version 6 RC sur mon DS214play, a part haproxy et Cops tout fonctionnait normalement.  
 
Je viens d'installer la version stable mais j'ai toujours les mêmes problèmes a savoir Haproxy pédale dans le vide et impossible de voir mes configurations et Cops il me dit qu'il ne trouve pas ma base metabase.db (pourtant bien configurée et avec autorisation pour le groupe Http).
 
Auriez vous une idée ?
 
Par avance merci :hello:

n°915490
Fender
♪♫♪♫♪♫♪
Posté le 24-03-2016 à 10:25:59  profilanswer
 
Voir ce message dans le sujet non filtré
 

pour haproxy, il entre probablement en conflit avec nginx qui gère maintenant le reverse proxy, si tu t'en servais pour ça, tu peux le virer gaiement.
 
par contre, connait pas cops, donc je peux pas t'aider


---------------
we are the dollars and cents
n°915554
mpnico
Posté le 24-03-2016 à 15:04:43  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bon ben moi la maj de mon 1812+ s'est pas super bien passée, y'a plus rien qui écoute sur le 5000 ou le 5001 donc plus d'interface :( Le reste fonctionne (montages nfs, haproxy, ssh...)


---------------
[Profil D3]
n°915603
tarteens
Posté le 24-03-2016 à 21:05:40  profilanswer
 
Voir ce message dans le sujet non filtré
 

MAJ faite, RAS , a part que j'arrive pas à configurer le reverse proxy builtin.  
 
j'avais HAProxy et ca fonctionnait bien, j'avais la redirection de https://monappli.username.synology.me => http://localhost:8888/ par example , j'ai mis la même chose...et ca ne fonctionne plus.
 
j'en ai profité pour crée un certif Let's Encrypt aussi...mais je pense pas que ca vienne de là...

 
Je suis en gland j'avais oublié que j'avais une redirection du 443 vers le port de HAProxy :o
donc dans ma box je redirige le 443 vers le 443 et c'est niquel :jap:  


Message édité par tarteens le 24-03-2016 à 21:15:37

---------------
il y a 10 types de personnes, ceux qui comprennent le binaire, et les autres - GGTracker - Tarteens #2796 - DBZ Dokkan Battle - Box @ 900 days
n°922952
repulsr
Posté le 12-05-2016 à 17:01:54  profilanswer
 
Voir ce message dans le sujet non filtré
 

Vous avez réussi à faire fonctionner HAproxy sur DSM 6 ?
Moi j'ai une erreur au démarrage :
"Échec lors du lancement de la réparation du paquet" et pourtant c'est la première fois que je l'installe.

n°922960
Kana-han
Quand on veut, on peut !
Posté le 12-05-2016 à 17:29:55  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bonjour,

repulsr a écrit :

Vous avez réussi à faire fonctionner HAproxy sur DSM 6 ?
Moi j'ai une erreur au démarrage :
"Échec lors du lancement de la réparation du paquet" et pourtant c'est la première fois que je l'installe.


HAProxy n'est plus utile maintenant dans DSM 6.0 (pour la partie redirection, mais pas pour la partie analyse).
Pour faire de la redirection il faut aller dans le panneau de configuration, Portail des applications, il faut choisir l'onglet "Proxy inversé".
 
Voilà ... :)

Message cité 2 fois
Message édité par Kana-han le 12-05-2016 à 17:38:08

---------------
@+, Kana-han.
n°959429
SanPe'
Membre n°312819
Posté le 20-01-2017 à 09:17:43  profilanswer
 
Voir ce message dans le sujet non filtré
 

:hello:
 
J'essaye d'installer HAProxy de synocommunity... Et à chaque fois, j'ai un message d'erreur qui me dit "echec lors du lancement de la réparation du paquet".
 
Sur le net, je trouve que la solution consiste à désinstaller, réinstaller. Ou alors à réinstaller sans lancer, redémarrer puis lancer...
 
Sauf que ça ne fonctionne pas. Personne n'a ce problème ?
 
Je suis en DSM 6.


---------------
"Vous avez beau travailler dur, devenir intelligent, on se rappellera toujours de vous pour la mauvaise raison."
n°964373
aceditnana​r
Posté le 27-02-2017 à 09:50:30  profilanswer
 
Voir ce message dans le sujet non filtré
 

Le passage en DSM 6 apporte vraiment des choses nouvelles pour une utilisation privée at home ?
J'ai juste noté les évolutions importante :
- Un système de fichier BTFRS qui a un intérêt pour de la sauvegarde incrémentielle moins volumineuse
- Un système cloud Synology plus poussé pour de la synchro de fichiers PC client <-> Serveur NAS
- Sécurité accrue au niveau de la connexion Admin / SHH
- Un reverse proxy (qui permet de se passer de Haproxy)...
 
J'ai loupé quelque chose d'important ? Étant depuis un moment en 5.2, j'hésite un peu... Sachant que les DSM successifs alourdissent à chaque fois la navigation au niveau temps de réponse j'ai l'impression...

n°972000
Bocal83
Posté le 02-05-2017 à 11:38:47  profilanswer
 
Voir ce message dans le sujet non filtré
 

Yop,
 
J'ai mis en place un Reverse Proxy basé sur HAProxy sur une VM Debian et maintenant, les applications Android n'arrivent plus à se connecter aux services du NAS (depuis l'extérieur).
Faut-il faire quelque chose de spécial dans la config de HAProxy ?
 
Merci !


---------------
PSN : John_Matrix | « Timeo libri rex agitur. Ça ne veut rien dire, mais c’est ce que j’ai trouvé de plus… aigre. »
n°972277
Joeman79
RAID is not backup
Posté le 03-05-2017 à 15:10:40  profilanswer
 
Voir ce message dans le sujet non filtré
 

Bocal83 a écrit :


 
Effectivement, c'est le certificat du Reverse Proxy qui devrait être utilisé.
Je sais pas quelle sauce les applications utilisent pour se connecter au NAS :/


?
 
Je ne connais pas haproxy, mais si l'url qui y est configurée en "https", c'est bien à son niveau qu'il faut installer la clé privée et le certificat.

n°982654
iskonje
Goûte moi ça mon fils
Posté le 21-07-2017 à 21:57:57  profilanswer
 
Voir ce message dans le sujet non filtré
 

babble a écrit :

Chez moi, ssh n'est accessible que depuis le réseau local.
 
Je n'ouvre sur l'extérieur que 80, 5001 via 443, 5006, et le port perso pour DS vidéo.
 
Je n'ai JAMAIS une seule tentative d'intrusion.


 
Encore mieux, je n'ouvre que le 5080 et le 5443 pour faire passer tous les services vers l'extérieur, y compris le SSH.
 
Et pareil, jamais eu de tentatives d'intrusion. Merci HAProxy :o

n°1028431
SanPe'
Membre n°312819
Posté le 29-06-2018 à 07:56:49  profilanswer
 
Voir ce message dans le sujet non filtré
 

Tiens, avec la dernière version de DSM, le conseiller de sécurité m'a trouvé des utilisateurs qui n'existent pas (haproxy notamment).
 
J'ai dû aller les supprimer en faisant vi /etc/passwd


---------------
"Vous avez beau travailler dur, devenir intelligent, on se rappellera toujours de vous pour la mauvaise raison."
n°1135670
MilesTEG1
Posté le 05-09-2020 à 11:04:18  profilanswer
 
Voir ce message dans le sujet non filtré
 

Nuance a écrit :

Non ce n'est pas gênant, ça explique surtout pourquoi il y a 2 ports d'utilisés par Bitwarden.
 
Mais ok Fredouye je vais étudier Traefik vu que j'en avais eu de bon retour ;-)


Je pensais que le deuxième port était le port du HTTPS...
 
Sinon, je veux bien un tuto simple pour traefik :D
Et y a une différence avec HAProxy que j'ai vu passer aussi ?
 
PS : traefik a quoi de bien mieux que le proxy inversé du NAS ? Si ce n'est les jolies couleurs ?


---------------
Mes ventes : [FeedBack] http://forum.hardware.fr/hfr/Achat [...] 4599_1.htm
n°1135671
Fredouye
Shivers !
Posté le 05-09-2020 à 11:07:53  profilanswer
 
Voir ce message dans le sujet non filtré
 

Traefik est capable, entre autres, de créer dynamiquement les reverses dès que tu démarres un container, il peut générer un certificat SSL (wildcard ou non) automatiquement, il fait reverse proxy UDP/TCP, etc. :)

 

HAProxy sait faire d'autres trucs (comme différencier le trafic HTTP/HTTPS du SSH), les 2 sont "complémentaires" je trouve.


Message édité par Fredouye le 05-09-2020 à 11:08:49

---------------
Le dernier arrivé est fan de Phil Collins
n°1135899
Fredouye
Shivers !
Posté le 07-09-2020 à 09:51:35  profilanswer
 
Voir ce message dans le sujet non filtré
 

MilesTEG1 a écrit :

Toujours au sujet de Docker ;)
Je cherche quoi faire avec, oui encore :P Faut bien que je justifie l'achat d'un 920+ hein :o

 

[...]

 

J'ai du mal à voir les différences entre une version officielles et une version faite par linuxserver...


linuxserver est un très gros contributeur d'images, parfois ils "portent" sur ARM des containers seulement dispos pour x86_64, parfois ils réunissent plusieurs images (frontend / backend) en une, etc.

 

Perso je me sers de :
- Traefik, reverse proxy hyper évolué/efficace
- AdGuard Home, à mon sens plus évolué que Pi-Hole
- HAProxy, pour tout faire passer par le port 443 (HTTPS et SSH)
- Bitwarden
- Syncthing, très utile pour synchroniser des répertoires entre plusieurs machines
- Apache Guacamole, super frontend SSH/RDP
- Jackett/Sonarr/Radarr, on va pas trop s'étendre dessus :o
- MariaDB / PHPMyAdmin, essentiellement pour Kodi
- un contrôleur Ubiquiti, pour des bornes wifi de la marque
- un ensemble de containers Telegraf/Prometheus/InfluxDB/Grafana pour grapher un Syno, du matos Ubiquiti, un firewall pfSense, des switches, etc.
- des petits trucs comme Ghost (moteur de blog), Gitea (serveur GIT), Portainer (GUI pour gérer Docker)

Message cité 2 fois
Message édité par Fredouye le 07-09-2020 à 09:54:55

---------------
Le dernier arrivé est fan de Phil Collins
n°1135928
MilesTEG1
Posté le 07-09-2020 à 13:28:22  profilanswer
 
Voir ce message dans le sujet non filtré
 

Fredouye a écrit :


linuxserver est un très gros contributeur d'images, parfois ils "portent" sur ARM des containers seulement dispos pour x86_64, parfois ils réunissent plusieurs images (frontend / backend) en une, etc.
 
Perso je me sers de :
- Traefik, reverse proxy hyper évolué/efficace
- AdGuard Home, à mon sens plus évolué que Pi-Hole
- HAProxy, pour tout faire passer par le port 443 (HTTPS et SSH)
- Bitwarden
- Syncthing, très utile pour synchroniser des répertoires entre plusieurs machines
- Apache Guacamole, super frontend SSH/RDP
- Jackett/Sonarr/Radarr, on va pas trop s'étendre dessus :o
- MariaDB / PHPMyAdmin, essentiellement pour Kodi
- un contrôleur Ubiquiti, pour des bornes wifi de la marque
- un ensemble de containers Telegraf/Prometheus/InfluxDB/Grafana pour grapher un Syno, du matos Ubiquiti, un firewall pfSense, des switches, etc.
- des petits trucs comme Ghost (moteur de blog), Gitea (serveur GIT), Portainer (GUI pour gérer Docker)


Merci bien pour ces utilisations possibles.
Je vais regarder pour Adguard Home, ça peut m'intéresser :D
Traefik aussi, mais me faut un tuto simple et très bien expliquer ^^
HAProxy, ça fait pas double emploi avec Traefik et le reverse proxy de DSM ?
Sinon j'ai quelques utilisations similaires ^^ avec Grafana ^^ (tuto chez nas-forum suivi)
 
 

fatalix41 a écrit :


 
Salut
 
Question conne mais en quoi plex ne te convient il pas? Perso, j'ai plex sur mon DS920+, j'y ait accès depuis tous mes PCs via le réseau local, accès depuis l'extérieur toujours sur des PCs fixes (via leur portail web), accès sans surcoût depuis ma mibox (avec l'appli plex) et depuis tous les téléphones et tablettes (via kodi avec extension plex qui se lance au démarrage de kodi)... Le tout gratuitement, sans payer ni abonnement ni payer les applis android. Honnêtement, difficile de faire mieux  :)  
 
Concernant ce que tu peux faire aussi avec ton DS920+, si tu aimes lire des bds ou comics en format numérisés, je te conseille très vivement komga sur docker qui permet d'héberger un serveur pour tes bds/comics/mangas au format numérique et de les lire directement (ou de les récupérer) depuis n'importe quel navigateur. Tu peux aussi les lire via une application android qui s'appelle tachiyomi (via l'extension komga) qui est la meilleure appli pour lire des scantrads sur android et qui du coup, permet aussi de lire mes bds numériques.  :love: Bien plus pratique que de tout devoir mettre sur plusieurs cartes micro-sd quand je pars de la maison ou d'avoir à trier.
 
https://komga.org/
 
Sinon en bien pratique, tu peux installer "watchtower" qui est super et qui met automatiquement à jour tes conteneurs et "portainer" qui permet d'administrer et surveiller tes conteneurs (je l'utilise aussi pour virer les vieilles images de mes conteneurs qui ne servent plus, komga est mis à jour au moins une fois par semaine, donc ça prend vite un peu de place).
 
Juste pour info les SSD NMVe de la marque kingdian sont bien fonctionnels et reconnus par les synology, j'en ai acheté un petit de 256Go pour tester et m'en servir de cache lecture (en me disant qu'au pire cela servira ailleurs) et RAS, reconnu directement. A 28e le 256Go et 44e le 512Go, cela permet de se faire plaisir à moindre coût, surtout que cette marque est fiable.
 
Edit, je rajoute le lien pour ceux que les SSD intéressent
 
https://fr.aliexpress.com/item/32955472430.html


Ce qui ne me convenait pas avec Plex, c'est de devoir payer pour le transcodage...
Mais je ne savais pas qu'il existait aussi un plugins kodi pour aller chercher les fichiers sur le NAS...
Cela dit, si ça fait la même chose que Jellyfin ou Emby et son plugins kodi, ça ne permet pas ce que je veux : lire sur la TV les vidéos 4K (avec sous-titre) sans que ça saccade...
 
 
Je note pour watchtower, que j'avais vu passer je sais plus où.
Portainer, je suis pas sur que ça me soit utile, si ce n'est ne pas laguer sur la mise à jour des conteneurs fraichement créés... Car hier j'ai du rebooter le NAS pour voir le conteneur Jellyfin que je venais de créer avec un docker-compose en SSH...
DOnc à voir.
Portainer ne permet pas lui aussi de faire les MAJ des conteneurs ?
 
Et purée, sont pas chers ces SSD chez kingdian... Du coup, corrolaire : QUID de la durée de vie ?
 
 

babble a écrit :

Il faut être plus radical.
N'autoriser que les pays desquels on attend une connexion externe, bloquer tout le reste.


+1000
 

fabb24 a écrit :


 
Tu as une méthode pour bloquer tous les pays ? Car lorsque je tente de créer une règle dans le parefeu en sélectionnant tous et en décochant juste quelques un pour les autoriser, DSM me dit qu'il peut créer une règle qu'avec 15 choix.


En fait tu autorises que ce que tu veux, puis tu fais une règle qui interdit tout pour tout le monde :
https://i.imgur.com/orMMmDA.png
 

raptor68 a écrit :


Corrigé, j'ai mis plus de conditionnelles aux GREPs afin de n'avoir l'ensemble que sur une seule commande et rappelé que SSH acceptait le copié collé sous windows


 
Nickel !! Je te pique la commande pour quand j'aurais à refaire un badblocks :D


---------------
Mes ventes : [FeedBack] http://forum.hardware.fr/hfr/Achat [...] 4599_1.htm
n°1135941
Fredouye
Shivers !
Posté le 07-09-2020 à 14:27:36  profilanswer
 
Voir ce message dans le sujet non filtré
 

Nuance a écrit :

Merci utilisant Adguard par ailleurs, je vais tester cette version "home" (que je n'avais pas vu passer) pour remplacer Pi-Hole  :)


J'avais fait un petit comparatif avec Pi-Hole sur le topic serveurs@home  :jap:  
 

MilesTEG1 a écrit :

Merci bien pour ces utilisations possibles.
Je vais regarder pour Adguard Home, ça peut m'intéresser :D
Traefik aussi, mais me faut un tuto simple et très bien expliquer ^^
HAProxy, ça fait pas double emploi avec Traefik et le reverse proxy de DSM ?


DSM utilise nginx pour le reverse proxy si j'ai bonne mémoire, avec HAProxy ce sont les 2 qu'on trouve le plus souvent.
Traefik fait partie de la nouvelle génération, c'est surtout pensé pour Docker/K8s et compagnie.
J'ai un HAProxy juste derrière le firewall pour aiguiller le SSH vers un hôte, et le HTTPS vers un Traefik (mais en ayant seulement le port 443 redirigé sur la box).
 

MilesTEG1 a écrit :

Je note pour watchtower, que j'avais vu passer je sais plus où.
Portainer, je suis pas sur que ça me soit utile, si ce n'est ne pas laguer sur la mise à jour des conteneurs fraichement créés... Car hier j'ai du rebooter le NAS pour voir le conteneur Jellyfin que je venais de créer avec un docker-compose en SSH...
DOnc à voir.
Portainer ne permet pas lui aussi de faire les MAJ des conteneurs ?


Je me sers d'Ouroboros pour mettre à jour automatiquement les images. Son développement vient de s'arrêter, mais il marche bien :)
C'est absolument déconseillé en environnement de prod (et même à la maison, certaines applis comme Traefik justement ont des configs complètement d'une version à une autre), mais ça me permet de ne pas me soucier des MAJ.
 
Portainer permet de gérer les containers, les images, les volumes, les réseaux...par contre, comme Traefik, il va devoir accéder à ta socket Docker, ce que ne permet pas nativement DSM.


---------------
Le dernier arrivé est fan de Phil Collins
n°1136002
MilesTEG1
Posté le 07-09-2020 à 19:04:31  profilanswer
 
Voir ce message dans le sujet non filtré
 

Fredouye a écrit :


J'avais fait un petit comparatif avec Pi-Hole sur le topic serveurs@home  :jap:  
 
 
DSM utilise nginx pour le reverse proxy si j'ai bonne mémoire, avec HAProxy ce sont les 2 qu'on trouve le plus souvent.
Traefik fait partie de la nouvelle génération, c'est surtout pensé pour Docker/K8s et compagnie.
J'ai un HAProxy juste derrière le firewall pour aiguiller le SSH vers un hôte, et le HTTPS vers un Traefik (mais en ayant seulement le port 443 redirigé sur la box).
 
 
Je me sers d'Ouroboros pour mettre à jour automatiquement les images. Son développement vient de s'arrêter, mais il marche bien :)
C'est absolument déconseillé en environnement de prod (et même à la maison, certaines applis comme Traefik justement ont des configs complètement d'une version à une autre), mais ça me permet de ne pas me soucier des MAJ.
 
Portainer permet de gérer les containers, les images, les volumes, les réseaux...par contre, comme Traefik, il va devoir accéder à ta socket Docker, ce que ne permet pas nativement DSM.


 
Mais du coup, tu utilises pleins d'outils qui font au moins une chose en commun...
Pourquoi ne pas tout centraliser sur l'outils le plus complet... Je n'ai pas trop saisi ton architecture réseau...
Car tu dois pouvoir "rediriger le https" avec HAproxy non ?
Ou bien "aiguiller le SSH vers ton hôte" avec Traefik ?
 
 
 

fatalix41 a écrit :

Pour les SSD KINGDIAN, la camelote a l'air d'être bonne, pas meilleur ni pire que les autres marques. J'en connais qui en utilisent de manière intensive et qui n'ont pas eut de soucis.


Ok, c'est bon à savoir.
Ça sort probablement d'une même chaine de fabrication qu'un grand constructeur...
 

gatsu35 a écrit :


as-tu réussi pour ton NAS à avoir ton let's encrypt easy ?


Oui bien sur ^^
 
Pour le moment, je gère les certificats en blocs : un bloc principal qui contient certains nom de domaine que moi seul utilise, un autre bloc avec celui que je partage à d'autres personnes (drive), et un dernier pour nextcloud que j'ai créé récemment pour tester nextcloud, mais lui je vais pouvoir le dégager...
À une époque je pouvais tout faire en un seul certificat, que je mettais à jour quand j'ajoutais un nom de domaine, mais j'ai trop de ndd maintenant à gérer pour que ça rentre dans le champs LE du NAS... Donc j'ai du en faire d'autre, ce qui m'a permis de faire l'organisation précédemment décrite.
 

Fredouye a écrit :

Y’a pas de soucis à avoir un certificat Let’s Encrypt avec DSM, par contre quand tu ajoutes régulièrement des domaines c’est pénible, faut en générer un nouveau ou refaire l’ancien...enfin, DSM gère les wildcards, mais que pour le domaine synology.me
 
(encore un truc qu’a Traefik sait faire :o)


Bah ça commence à devenir intéressant ce Traefik...
Mais le seul tuto que j'ai pris le temps de parcourir rapidement m'a paru pas simple à mettre en oeuvre, et surtout c'était pas super bien expliqué...
 
Et donc tu conseilles de prendre du temps pour mettre en place Traefik ? (pour les certificats wildcards, ça peut être intéressant)...
 


---------------
Mes ventes : [FeedBack] http://forum.hardware.fr/hfr/Achat [...] 4599_1.htm
n°1136035
Fredouye
Shivers !
Posté le 08-09-2020 à 08:35:55  profilanswer
 
Voir ce message dans le sujet non filtré
 

MilesTEG1 a écrit :

Mais du coup, tu utilises pleins d'outils qui font au moins une chose en commun...
Pourquoi ne pas tout centraliser sur l'outils le plus complet... Je n'ai pas trop saisi ton architecture réseau...
Car tu dois pouvoir "rediriger le https" avec HAproxy non ?
Ou bien "aiguiller le SSH vers ton hôte" avec Traefik ?


Non, Traefik n’est pas (encore, ça peut changer) capable de détecter le payload SSH dans des paquets, et HAProxy ne sait pas discuter avec un démon Docker :D
Après je reconnais que c’est « superflu », mais ça me permet d’accéder à du SSH via le port 443.
 

MilesTEG1 a écrit :


Bah ça commence à devenir intéressant ce Traefik...
Mais le seul tuto que j'ai pris le temps de parcourir rapidement m'a paru pas simple à mettre en oeuvre, et surtout c'était pas super bien expliqué...
 
Et donc tu conseilles de prendre du temps pour mettre en place Traefik ? (pour les certificats wildcards, ça peut être intéressant)...


En environnement Docker, un reverse proxy comme Traefik simplifie drôlement la vie...une fois les bons labels mis en place, 1 seconde après le démarrage d’un container ton appli est dispo sur internet, sans avoir à faire de conf.
 
La conf de Traefik est effectivement loin d’être évidente, et c’est découpé en plusieurs couches : routeur (en gros, l’URL avec laquelle tu vas te connecter depuis l’extérieur), service (là où est ton appli en interne) et middleware (ajout d’un chemin à l’URL, modification headers, gestion de credentials, etc.)  
 
Un grand nombre de providers DNS sont gérés, si tu veux des certificats wildcards : https://docs.traefik.io/https/acme/#providers
 
 


---------------
Le dernier arrivé est fan de Phil Collins
n°1136107
Fredouye
Shivers !
Posté le 08-09-2020 à 16:27:50  profilanswer
 
Voir ce message dans le sujet non filtré
 

MilesTEG1 a écrit :

Hmm, je ne sais pas trop ce que c'est que le "payload SSH", c'est le traffic ? La connexion en SSH ?
Mais ok pour que Traefik ne sache pas encore le gérer.


En gros tu peux dire à HAProxy que les paquets contenant la chaine de caractères "SSH-2.0" sont à envoyer vers le port SSH d'une machine, et le reste (HTTP/HTTPS, par exemple) doit être envoyé à Traefik.
 

MilesTEG1 a écrit :

Je ne souhaite pas forcément que les conteneurs soient disponibles depuis l'extérieur de chez moi, donc depuis le NET...
Si je peux avoir le choix de rendre dispo ou non, alors, Traefik peut m'intéresser :D
Mais faut que le tout soit facilement configurable, et surtout qu'en cas de pépin je puisse toujours avoir accès au NAS ^^


Tu peux tout à faire faire comprendre à Traefik (via des labels Docker) qu'il ne faut pas reverse proxyfier une appli :jap:
 
Après tu peux toujours accéder à tes applis avec une IP locale...


---------------
Le dernier arrivé est fan de Phil Collins

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  [Topic R+] Les serveurs NAS Synology - /!\ Lire page 1 SVP /!\

 

Sujets relatifs
[topic aide] Protocole pop3Choix de NAS et usages possibles
prob formatage hdd de mon synology 110Modem routeur d-link dsl-g624t + routeur synology
Probleme de conexion NAS d-link dns-323Topic unique Darty Box ? Des dartybox sur hfr ?
[Résolu]KVM TK-208K, recherche d'infos (reponses en fin de topic)Microsoft Money et NAS
Probleme avec un NAS Dlink 323Présentation du FSG-3: Freecom Storage Gateway (Futur topic?)
Plus de sujets relatifs à : [Topic R+] Les serveurs NAS Synology - /!\ Lire page 1 SVP /!\


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR