Reverse proxy sur un Syno

Bonjour à tous🤝

Je rencontre un petit souci, qui ne concerne pas Jeedom directement, mais la mise en place d’une reverse-proxy avec un Syno. Comme il y a plein de pros du réseau ici, je me dis que peut-être…

Donc voilà, depuis ce matin, j’ai commencé la mise en place d’un reverse-proxy sur mon Syno histoire de simplifier et sécuriser un peu plus mon installation.

Noms de sous-domaine, certificats let’sencrypt → ça roule.

Mes 2 Jeedom répondent bien, mes caméras solos aussi → pas de souci

Le problème que je rencontre, c’est avec mes 2 enregistreurs de vidéosurveillance (les 2 sont des Reolink)

Donc, auparavant :

j’avais mis en place une ouverture de port sur mon routeur. J’accédais à mes caméras depuis mon appli, en tapant « monnomdedomaine:portexterieur » -->impec, ça a toujours marché en allant chercher le port interne (9000)

Aujourd’hui :

*Je créé une règle de proxy inversé (comme pour jeedom)

DANS SOURCE:

*J’indique le protocole HTTPS

*j’indique dans « nom d’hôte » le sous domaine dédié à l’enregistreur (cameras.mondomaine.fr)

*J’indique le port 443 (comme je l’ai fait pour mes Jeedom)

DANS DESTINATION:

*J’indique le protocole HTTP
*J’indique l’adresse IP locale de mon enregistreur

*J’indique le port local diffusant le flux vidéo (9000)

Et bien le souci, c’est qu’en mettant comme adresse dans mon appli "[https://cameras.mondomaine.fr] → ça ne marche pas. Je n’ai rien. (alors que sans passer par le reverser proxy, en ouvrant le port via le routeur, ça passe sans souci)

Vous auriez une piste ?

Merci ! :+1:

Tu as ouvert le port sur le syno ?

au niveau du pare-feu ? oui

Bonjour

Peux tu montrer une capture de ta config?

Alors, dans les règles de proxy inversé :

Dans la page « sécurité », le certificat « cameras.mondomaine.ovh » est bien relié au service « cameras.mondomaine.ovh »

Au niveau de mon routeur, le port 443 extérieur est redirigé vers le port 443 du NAS. (j’ai aussi testé le port 5001, c’est exactement pareil)

Le souci ne se présente apparemment que pour mes 2 enregistreurs Reolink. Si à la place, je configure avec l’IP d’un autre périphérique (Jeedom, ou un autre Rpi, ou une caméra indépendante) → ça fonctionne.

Hello

Vire le HSTS

voici mes capture pour t’aidé

Quel rôle joue le webstation dans les paramètres du reverse proxy?

Bonjour,
J’ai un peu cherché sur le site de Reolink et j’ai trouvé l’article suivant

Il semble nécessaire d’ouvrir d’autres port que uniquement le hhtps. Le reverse proxy ne s’en occupe pas.
Je pense donc que ton problème vient de là.

non, c’est bien le port media qu’il faut ouvrir (9000 dans mon cas) et lui seul, pour le NVR
C’est ce qui est fait depuis des mois sur mon routeur, et j’accède sans souci à mon NVR (donc avec juste l’ouverture d’un port)

Es tu certain que le protocole utilisé sur le port 9000 via le router est du HTTPS ?
Pour moi le fonctionnement du NAT et d’un Reverse Proxy ne sont pas identiques.
NAT; C’est uniquement une transformation de port avec renvoi vers une adresse IP interne.
Reverse Proxy: Tu établis une session HTTPS entre ton client et le Reverse Proxy. Ensuite, le reverse proxy etabli une nouvelle session vers ton serveur (ici NVR).

As tu vérifié que ce mode de fonctionnement est supporté par tes NVR ?

non, le protocole utilisé par le port 9000 n’est pas du HTTPS. Mais lorsque je configure une caméra locale (non reliée au NVR), ça fonctionne sans souci, alors même que son flux n’est pas en HTTPS non plus.

D’ailleurs, de ce que j’avais compris (mais je peux me tromper, évidemment), quand je configure mon reverse proxy, j’ai bien une liaison HTTPS entre l’extérieur et le NAS, puis du HTTP du NAS vers le périphérique local.

C’est quand même étrange que mes autres périphériques fonctionnent sans souci, et que ce foutu NVR ne me renvoie pas d’images…

Bonjour

De mémoire, j’avais un serveur samsung à une époque, et il fallait que j’ouvre deux ports: le port vers le serveur +1 (dans ton cas ce serait 9000 et 9001).

Chez moi le HSTS et le http/2 sont bien activés.

Mais @henribi a raison dans un sens: le reverse proxy n’est pas la même chose que du nat. Si ça se trouve, lorsque tu te connectes en NAT, tu ouvres automatiquement un autre port, ce que ne pourra pas faire ton reverse proxy. Il faudrait faire des traces avec Wireshark pour voir ce qui se passe avec le nat

mais comment je pourrais ouvrir 2 ports en NAT, puisque mon routeur Asus n’est pas configuré pour cela ? Y’a un truc que je ne pige pas…

Vous me confirmez bien que si il y avait bien 2 ports à ouvrir, le reverse proxy est impossible ? Ou il y a une subtilité pour contourner ?