Tuto HC2 Reverse Proxy Sur Nas Synology Avec Haproxy

[BenjyNet 1 200]

Bien tout ça... de retour et déjàdes questions

Chez free j'ai une adresse DNS du type toto.hd.free.fr alors comment faire pointer toto.hd.free.fr/audio vers toto.hd.free.fr:5008/audio ? Déjà, est-ce possible car dans l'exemple on suppose la possibilité de créer autant de nom que l'on veut mais ce service est payant non ?

[Lazer 8 497]

euh, je n'utilise pas ce service, je ne sais pas comment cela se configure.

Perso j'ai un domaine (payant) chez OVH. A partir du moment où je paye un domaine (exemple fictif : lazer.com), alors j'ai le droit de créer autant de sous-domaines que je veux (ce qui donne super.lazer.com, etc...).

Je ne pense pas que tu puisses faire pareil avec le DNS de Free, car ton sous-domaine est déjà  toto.hd.free.fr. Il faudrait creuser cette question dans leur interface de gestion.

 

En ce qui concerne le port (5008) dans ton exemple :

- le port ne fait pas parti du DNS

- le but de ce tuto avec HAproxy est justement de s'affranchir de la notion de port. Dans mon exemple de domaine, cela donnerait audio.lazer.com

 

J'ai l'impression que tu ne pourras pas aller bien loin avec le DNS de Free. N'oublie pas qu'ils appellent bien ça la "personnalisation du reverse DNS". Ce n'est pas comme d'avoir un nom de domaine complet.

[thonegger 0]

Bonjour,

de mon coté impossible de redemarrer le package haproxy, il me mets toujours impossible de demarrer le paquet, bien que la ligne ssl soit rajouter au fichier... de votre coté ca marche ?

ou sont situées le logs exactement ?

merci de votre aide !

[Lazer 8 497]

Les logs sont situés dans /var/log/

Après avoir tenté de démarrer le package, regarde quel est le dernier fichier modifié avec la commande : ls -ltr

Ensuite pour afficher les dernières lignes du fichier : tail nomdufichier.

[thonegger 0]

ok merci, et voila le resultats mais pas vraiment explicite non plus;..

 

entry.cgi_SYNO.Core.Upgrade.Server[1].check[23269]: smallupdate.cpp:568 small fix can't downgrade, org_version[3], new_version[3]

entry.cgi_SYNO.Core.Package.Control[1].start[23736]: pkgstartstop.cpp:121 Failed to start package haproxy

 

c' est quoi d'ailleurs ce entry.cgi qui me prend pas mal de ressources sur le cpu ?

[Lazer 8 497]

Hum, ça ne m'inspire pas beaucoup

Tu as cherché les messages d'erreur sur Google ?

Je suis sur mon téléphone sans accès SSH àmon serveur, donc pas évident là..

[Steven 2 335]

Ohhhh l'excuse. Le manque de motivation du gars. Je suis sûre qu'il existe plein d'application pour faire du SSH depuis la route des vacances

OK, je sors.

[thonegger 0]

bin moi j'arrive bien a me connecter en ssh depuis mon tel...connectbot sur android  )

[morsure 1]

Mieux que Connecbot, JuiceSSH, aucun problème d'affichage et de clavier, je conseille ^^!

 

Sinon je viens de tester HAProxy, sur le fond ca a l'air bien plus sympa à  modifier que la conf Apache et son Reverse Proxy,

 

En vérité ca a l'air très bizarre voir instable. Chez moi :

- Port 80 redirigé vers 5080 du NAS

- Frontends en 5080 sans Backend par défaut comme stipulé dans le tuto

- Conf suivante pour backends : couch localhost:5053 check | sick localhost:8083 check | zibase 192.168.0.25:80/zibase/ check

couch pour couchpotato | sick pour sickbeard | zibase étant un raspberry hébergeant un ptit site web de graphe

 

Associations en http avec les backends qui vont bien et la condition if { hdr_beg(Host) -i "sab ou sick ou couch ou zibase". } 

 

couch fonctionne en tapant http://couch.mondomaine.com:5053 (alors que je n'ai pas redirigé ce port sur mon routeur vers le NAS). Sans le port, je suis redirigé vers l'interface du NAS

sick ne fonctionne pas en tapant http://sick.mondomaine.com:8083, et sans le port je suis redirigé vers l'interface du NAS

zibase ne fonctionne pas, redirection vers l'interface du NAS

 

Je suis chez Numericable et chez OVH pour le domaine, trop bizarre...

 

P.S. : J'ai eu la même erreur qui a disparu avec l'installation de la Beta.

[Lazer 8 497]

@Steven en effet j'avoue.... Mais justement je suis en vacances et il fait tellement beau dehors !!!

@thonegger, Morsure, oui mais je n'ai pas de port SSH ouvert chez moi, il faudrait pour cela monter le VPN, ce que Android l'interdit tant que je ne met pas un schéma de verrouillage sur la tablette, ce que je ne veux pas faire. Bref j'y met de la mauvaise volonté, mais ça me convient bien àmoi, c'est l'essentiel non

@morsure je ne suis pas certain que la redirection vers une adresse IP avec un chemin derrière (/zibase/) soit supporté par HAProxy...

Et Sick, c'est bien une interface Web derrière ?

[morsure 1]

Eh, en effet Sickbeard est bien une interface web, au même titre que Couchpotato, mais ce que je ne m'explique pas, c'est qu'en rajoutant le port de Couchpotato, j'arrive à  accéder à  Couchpotato, ca serait tellement plus simple si rien ne fonctionnait...

 

Bref une grosse énigme et les questions qui me viennent, je m'essaye en nginx, retourne en reverse apache ou bien persévère en HAProxy...

[Lazer 8 497]

@morsure, je te propose qu'on refasse une passe sur toute ta config, car il doit y avoir une petite erreur quelque part.

Est ce que tu peux faire des captures d'écran :

- des paramètres de config de haproxy ? (Éventuellement en masquant certaines zones que tu jugerais sensible)

- paramétrage du routeur

- DNS

[morsure 1]

Hello lazer,

 

Merci pour ton aide,

 

Avec plaisir je te partage ca, pour la partie DNS je fais ca en privé, mais pour le reste je partage , si ca peut aider la communauté.

 

Bon étant sur Numericable, je me suis rendu compte que la box ne redirigeait pas les ports. De ce fait j'ai changé le port Apache par défaut en http et https dans les fichiers de conf httpd.conf et httpd_ssl.conf sur le Syno. J'ai donc fait pointer les ports 80 et 443 vers haproxy.

 

Côté box donc, je redirige les ports 80 et 443 vers mon nouveau NAS :

 

Ensuite, je modifie côté haproxy les ports dans le frontend 5080 et 5443 vers 80 et 443 tout en enlevant le backend par défaut :

 

J'ai créé mes backends qui vont bien avec les ports applicatifs en local :

 

Ils sont tous en http pour le moment, je passerai en https quand le http sera OK .

 

Enfin, j'ai fait les associations qui vont bien en suivant le tuto afin que quand je tape http://sick.mondomaine.fr, je puisse avoir sick qui s'affiche :

 

Quand je fais un test en extérieur, au bout d'un certain temps, en tapant couch.mondomaine.fr, j'ai IE qui me renvoie ca, donc redirection vers le port 5000, bizarre non : 

 

En espérant que ca pourra en aider d'autres également! Merci Lazer!

[Lazer 8 497]

Arf j'ai un problème, je suis pas doué je crois.

Dans Tapatalk, je vois les miniatures, mais quand je clique dessus j'ai une image toute pixelisée, donc illisible.

Si j'essaye d'ouvrir le forum dans Chrome sur tablette, et que je clique sur ma miniature, il me dit que je n'ai pas le droit de l'ouvrir.

Du coup je vois pas bien comment je peux m'en sortir... Je n'ai pas de PC àdisposition en vacances.

[Lazer 8 497]

Je confirme que je ne suis pas doué.... Je n'avais pas ouvert ma session sur le forum dans le navigateur Chrome, ce qui explique que je n'ai pas accès aux images en pleine taille.

Ta config me semble OK, mais je trouve bizarre que ta box ne te permette pas de rediriger les ports...

Par contre dans ton navigateur IE, quand tu accèdes depuis l'extérieur, le but de ce reverse proxy est de ne pas mettre le port.

Donc essaye : http://couch.domaine.com

[thonegger 0]

je confirme que numericable (modem netgear) ne permet pas la redirection des ports (de 80 vers 4080), c'est super insuportable. j'ai essayé de me connecter en admin sur le telnet mais impossible... si qqun a une solution hack je suis preneur.

mais sinon pour ma config, j'ai fait de 80 dehors vers 80 nas et fait ecouté haproxy sur le 80 frontend. Puis backend comme les autres.

 

pfff entry.cgi c'est quoi ce script alors ??? en plus il consomme a fond des ressources proc...

[Lazer 8 497]

En effet, d'après les screenshot de la box Numericable, je vois qu'on ne peut pas spécifier de port cible

C'est naze.

Mais du coup le reverse proxy ça devient super utile dans ce cas là.

entry.cgi ça n'a rien a voir avec haproxy.... Cherche sur les forums Syno.

[morsure 1]

Hello Lazer,

 

Merci pour ton retour, c'est bien ce que je tape de l'extérieur, couch.mondomaine.com, sauf qu'il mouline pendant longtemps,

 

Et une fois que IE ou autres browsers ont fini de mouliner, l'adresse change et le port 5000 apparait...

[vosmont 1]

@Lazer

 

Bonjour,

pourquoi préfères tu installer HAproxy sur le DSM plutôt que sur une VM dédiée au reverse proxy (puisque ton DSM est sur une VM ESXi) ?

Au vu des problème de sécurité en ce moment sur les DSM, ne vaut-il pas mieux sortir cette brique de sécurité ?

[Lazer 8 497]

@morsure ... Hum bizarre, je ne comprends pas pourquoi....

Faudrait que je fasse quelques tests chez moi la semaine prochaine...

@Vosmont c'est bien ce que je fais en fait.

En fait au début j'avais tout installé sur la même VM. Puis maintenant j'ai une VM Xpenology 4.3 avec mes données, et une VM 5.0 avec uniquement le reverse proxy (très peu de RAM et disque virtuel)

A terme, je vais mettre HAproxy sur une Debian hyper allégée. Et au final, quand j'aurai acheté un routeur/firewall digne de ce nom, cette VM ira dans un VLAN complètement isolé. Du cloisonnement en fait.

[vosmont 1]

@Lazer

ok

je pense que je vais migrer mon reverse proxy (avec ngnix) qui tourne sur un raspberry dans une VM dédiée sur le proliant.

[Lazer 8 497]

Faut voir ce qui est le plus fiable àtes yeux : PI ou Proliant, car il faut que le reverse proxy soit toujours up .

En ce qui concerne ngnix, ça te semble mieux que HAproxy ? Il y avait eu une discussion sur le forum il y a quelques mois, mais j'étais parti sur HAproxy car il est dispo facilement sur Synology grâce àSynocommunity.

[vosmont 1]

En ce qui concerne ngnix, ça te semble mieux que HAproxy ?

 

C'est celui qui ressortait le plus pour une installation sur Raspberry. Il est éprouvé et peu gourmand.

Le reverse proxy peut être ensuite renforcé avec Fail2ban et du knocking port (un peu galère côté client ensuite)

[Lazer 8 497]

Oui voilà, nginx c'est avant tout un serveur web allégé.

Mais HAproxy doit être encore plus léger du coup, car il a encore moins de fonctionnalités.

Fail2ban il faudra que je me penche dessus àl'occasion.

Le knocking port pour un reverse proxy http, c'est àmon avis trop lourd. Par contre pour sécuriser un accès SSH ou VPN ça peut être sympa.

[thonegger 0]

la vous m'avez perdu, installer une vm sur le synology ???

haproxy fait pourtant bien son boulot j'ai l'impression, quand il veut marcher... qqun a t il deja fait tourner haproxy sur un nas synology dans la derniere version de dsm ???

si oui on devrait pouvoir trouver une solution pour le faire marcher

sinon il faut en effet trouver une alternative soft ou hard....