[Résolu] Accès Distant Https

Fripix · 30 mars 2014

Bonsoir,

je souhaiterai accéder à distance uniquement via https. Malheureusement ça ne fonctionne pas.

J'ai activé le SSL via le port 443.

Sur mon routeur, j'ai fait le redirection NAT.

L'accès distant via http fonctionne sans soucis mais pas accessible via https.

En local par contre ça fonctionne sans soucis en https via le port 443.

Y aurait-il quelque chose que j'ai oublié?

archimede333 · 31 mars 2014

Bonjour,

Apparemment, la configuration est correcte du point de vue de l'ouverture du port d'accès.

Lors des précédentes fois où vous avez ouvert les ports 80 et 8080, aviez-vous procédé de la même façon ?

Si oui, essayer de supprimer le port 443 de votre routeur et de le réouvrir.

Fripix · 31 mars 2014

Oui j'ai procédé de la même manière pour le 80 et le 8080.

J'ai enlevé puis remis le NAT sur le 443, sans succès

father_mande · 1 avril 2014

Bonjour,

Pour valider que votre box ou routeur ne "prend" pas le port 443 pour lui essayez en changeant de port il suffira d'essayer avec : https://votre_qnap:NEWPORT/

Vous ne restez pas bloquer sur le fait que le certificat SSL n'est pas signé ... car là il suffit de l'accepter ... mais si vous l'avez fait en interne ... ce ne doit pas être cela ...

N'essayez pas en boucle LAN -Box - Internet - Box - LAN ... cela peut ou pas fonctionner ... essayez réellement depuis l’extérieur ...

Philippe.

Fripix · 2 avril 2014

J'ai essayé de changer de port et le problème est le même.

Par contre il y a une chose que je n'ai pas précisée, c'est que j'utilise dyndns (free).

Je suppose que le problème peut venir de là.

father_mande · 2 avril 2014

Bonjour,

OUI peut-être ... essayez :

1 en utilisant l'adresse I.P. externe (celle donné au moment de l'essai) ... vous l'avez (même si vous n'utilisez pas DDNS dans le menu réseau / service DDNS de l'administration Web ... qui elle parait accessible ... )

... ceci squeezera tous les serveurs DNS et ne laissera QUE la box / routeur en intermédiaire ...

2 si cela fonctionne ... il faudra essayer avec MyQNAPCloud qui intègre un serveur Dyn DNS gratuit

Myqnapcloud = serveur Dyndns + client Upnp IGD (configuration automatique des redirections dans les box compatibles) + un portail d’accès aux services sécurisé

... mais rien n'empêche de n'utiliser que la partie serveur de nom DNS dynamique ...

Philippe.

Fripix · 4 avril 2014

J'ai testé avec l'IP externe, ça ne fonctionne pas non plus.

J'ai activé MyQNAPCloud, ça ne fonctionne pas non plus...

Par contre je peux accéder en SSL sur le port 8081 pour le web sécurisé.

Mais ça ne fonctionne toujours pas pour l'administration web. Que ce soit sur le port 443 ou sur le 1700 (j'ai testé en changeant le port).

Ça me semble illogique que ça ne fonctionne pas.

father_mande · 4 avril 2014

Bonjour,

En effet ... il n'y a pas de raison ...

pouvez-vous donner ici le résultat des commandes suivantes (console ssh ou telnet) :

ps -eaf | grep apache

cat /etc/apache-sys-proxy-ssl.conf

Philippe.

Fripix · 4 avril 2014

[~] # ps -eaf | grep apache

5015 admin 10732 S /usr/local/apache/bin/apache -k start -c PidFile /var

11696 httpdusr 16364 S /usr/local/apache/bin/apache -k start -c PidFile /var

11698 httpdusr 16628 S /usr/local/apache/bin/apache -k start -c PidFile /var

14625 httpdusr 17100 S /usr/local/apache/bin/apache -k start -c PidFile /var

16993 httpdusr 15864 S /usr/local/apache/bin/apache -k start -c PidFile /var

17758 admin 9480 S < /usr/local/apache/bin/apache_proxys -k start -f /etc/

17774 admin 5316 S < /usr/local/apache/bin/apache_proxys -k start -f /etc/

17775 admin 5316 S < /usr/local/apache/bin/apache_proxys -k start -f /etc/

17843 admin 8996 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

17848 admin 5736 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

17850 admin 7452 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

17851 admin 7812 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

17852 admin 5952 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

17860 admin 6064 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

18008 admin 5916 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

18088 admin 6172 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

18089 admin 6148 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

19121 httpdusr 13084 S /usr/local/apache/bin/apache -k start -c PidFile /var

19124 httpdusr 14016 S /usr/local/apache/bin/apache -k start -c PidFile /var

19125 httpdusr 14348 S /usr/local/apache/bin/apache -k start -c PidFile /var

19126 httpdusr 13664 S /usr/local/apache/bin/apache -k start -c PidFile /var

19127 httpdusr 14336 S /usr/local/apache/bin/apache -k start -c PidFile /var

21185 httpdusr 14648 S /usr/local/apache/bin/apache -k start -c PidFile /var

24939 admin 548 S grep apache

26122 admin 6000 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

28158 admin 5736 S < /usr/local/apache/bin/apache_proxy -k start -f /etc/a

[~] # cat /etc/apache-sys-proxy-ssl.conf #ServerType standalone

ServerRoot "/usr/local/apache"

LockFile /var/lock/apache_proxys.lock

PidFile /var/lock/apache_proxys.pid

#ScoreBoardFile /usr/local/apache/logs/apache_proxys.scoreboard

Timeout 360

KeepAlive On

MaxKeepAliveRequests 100

KeepAliveTimeout 15

MinSpareServers 2

MaxSpareServers 6

StartServers 2

MaxClients 16

MaxRequestsPerChild 30

Listen 1700

User admin

Group administrators

ServerAdmin admin@NAS

#ServerName NAS

TraceEnable off

ServerTokens Prod

DocumentRoot "/home/httpd"

Options FollowSymLinks

AllowOverride None

Order deny,allow

Deny from all

</Directory>

DirectoryIndex index.html index.htm index.php

</IfModule>

AccessFileName .htaccess

Order allow,deny

Deny from all

Satisfy All

</FilesMatch>

UseCanonicalName Off

HostnameLookups Off

DefaultType text/plain

ErrorLog /dev/null

LogLevel crit

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

LogFormat "%h %l %u %t \"%r\" %>s %b" common

LogFormat "%{Referer}i -> %U" referer

LogFormat "%{User-agent}i" agent

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio

</IfModule>

ServerSignature On

AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip

AddIconByType (TXT,/icons/text.gif) text/*

AddIconByType (IMG,/icons/image2.gif) image/*

AddIconByType (SND,/icons/sound2.gif) audio/*

AddIconByType (VID,/icons/movie.gif) video/*

AddIcon /icons/binary.gif .bin .exe

AddIcon /icons/binhex.gif .hqx

AddIcon /icons/tar.gif .tar

AddIcon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv

AddIcon /icons/compressed.gif .Z .z .tgz .gz .zip

AddIcon /icons/a.gif .ps .ai .eps

AddIcon /icons/layout.gif .html .shtml .htm .pdf

AddIcon /icons/text.gif .txt

AddIcon /icons/c.gif .c

AddIcon /icons/p.gif .pl .py

AddIcon /icons/f.gif .for

AddIcon /icons/dvi.gif .dvi

AddIcon /icons/uuencoded.gif .uu

AddIcon /icons/script.gif .conf .sh .shar .csh .ksh .tcl

AddIcon /icons/tex.gif .tex

AddIcon /icons/bomb.gif core

AddIcon /icons/back.gif ..

AddIcon /icons/hand.right.gif README

AddIcon /icons/folder.gif ^^DIRECTORY^^

AddIcon /icons/blank.gif ^^BLANKICON^^

DefaultIcon /icons/unknown.gif

ReadmeName README.html

HeaderName HEADER.html

IndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t

</IfModule>

#

# Document types.

#

TypesConfig /etc/default_config/apache/mime.types

AddLanguage da .dk

AddLanguage nl .nl

AddLanguage en .en

AddLanguage et .ee

AddLanguage fr .fr

AddLanguage de .de

AddLanguage el .el

AddLanguage he .he

AddCharset ISO-8859-8 .iso8859-8

AddLanguage it .it

AddLanguage ja .ja

AddCharset ISO-2022-JP .jis

AddLanguage kr .kr

AddCharset ISO-2022-KR .iso-kr

AddLanguage nn .nn

AddLanguage no .no

AddLanguage pl .po

AddCharset ISO-8859-2 .iso-pl

AddLanguage pt .pt

AddLanguage pt-br .pt-br

AddLanguage ltz .lu

AddLanguage ca .ca

AddLanguage es .es

AddLanguage sv .sv

AddLanguage cs .cz .cs

AddLanguage ru .ru

AddLanguage zh-TW .zh-tw

AddCharset Big5 .Big5 .big5

AddCharset WINDOWS-1251 .cp-1251

AddCharset CP866 .cp866

AddCharset ISO-8859-5 .iso-ru

AddCharset KOI8-R .koi8-r

AddCharset UCS-2 .ucs2

AddCharset UCS-4 .ucs4

AddCharset UTF-8 .utf8

LanguagePriority en da nl et fr de el it ja kr no pl pt pt-br ru ltz ca es sv tw

</IfModule>

AddType application/x-tar .tgz

AddEncoding x-compress .Z

AddEncoding x-gzip .gz .tgz

AddType application/x-compress .Z

AddType application/x-gzip .gz .tgz

AddType application/x-httpd-php .php .php4 .php3 .phtml

AddType application/x-httpd-php-source .phps

AddHandler cgi-script .cgi

AddType text/html .shtml

AddHandler server-parsed .shtml

AddHandler send-as-is asis

AddHandler imap-file map

AddHandler type-map var

</IfModule>

MIMEMagicFile /etc/default_config/apache/magic

</IfModule>

BrowserMatch "Mozilla/2" nokeepalive

BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0

BrowserMatch "RealPlayer 4\.0" force-response-1.0

BrowserMatch "Java/1\.0" force-response-1.0

BrowserMatch "JDK/1\.0" force-response-1.0

BrowserMatch "QGet[23]" nokeepalive downgrade-1.0 force-response-1.0

BrowserMatch "Qfile 1\.[012]" nokeepalive downgrade-1.0 force-response-1.0

BrowserMatch "Qmanager 1\.[012]" nokeepalive downgrade-1.0 force-response-1.0

BrowserMatch "QTS_HTTP" nokeepalive downgrade-1.0 force-response-1.0

BrowserMatch "QNAPWebFileMan" nokeepalive downgrade-1.0 force-response-1.0

BrowserMatch "MyCloudNAS" nokeepalive downgrade-1.0 force-response-1.0

</IfModule>

SSLRandomSeed startup builtin

SSLRandomSeed connect builtin

</IfModule>

LoadModule deflate_module modules/mod_deflate.so

DeflateCompressionLevel 2

AddOutputFilterByType DEFLATE text/html text/css application/x-javascript

AddOutputFilter DEFLATE js css

BrowserMatch ^Mozilla/4 gzip-only-text/html

BrowserMatch ^Mozilla/4\.[0678] no-gzip

BrowserMatch \bMSIE\s7 !no-gzip !gzip-only-text/html

</IfModule>

#===SSL===

LoadModule ssl_module modules/mod_ssl.so

LoadModule proxy_module modules/mod_proxy.so

LoadModule proxy_ajp_module modules/mod_proxy_ajp.so

LoadModule proxy_balancer_module modules/mod_proxy_balancer.so

LoadModule proxy_connect_module modules/mod_proxy_connect.so

LoadModule proxy_http_module modules/mod_proxy_http.so

LoadModule proxy_scgi_module modules/mod_proxy_scgi.so

LoadModule php5_module modules/libphp5.so

PHPINIDir /etc/default_config/php

Alias /v3_menu/ "/home/httpd/v3_menu/"

AllowOverride None

Order allow,deny

Allow from all

</Directory>

Alias /apps "/mnt/ext/opt/apps"

AllowOverride All

Order allow,deny

Allow from all

</Directory>

Alias /RSS/images "/home/httpd/RSS/images"

AllowOverride None

Order allow,deny

Allow from all

</Directory>

</IfModule>

Include /etc/default_config/apache-msv2.conf

Include /etc/default_config/apache-musicstation.conf

Include /etc/default_config/apache-photo.conf

Include /etc/default_config/apache-video.conf

SSLRandomSeed startup file:/dev/urandom 512

AddType application/x-x509-ca-cert .crt

AddType application/x-pkcs7-crl .crl

SSLPassPhraseDialog builtin

SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"

SSLSessionCacheTimeout 300

SSLMutex "file:/usr/local/apache/logs/ssl_mutex"

Options FollowSymLinks

AllowOverride None

Order deny,allow

Deny from all

SSLRequire %{SSL_CIPHER} !~ m/^(EXP|NULL)/

</Directory>

SSLEngine on

SSLProxyEngine on

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!SSLv2:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

SSLCertificateFile "/etc/stunnel/stunnel.pem"

ProxyRequests Off

ProxyBadHeader Ignore

ProxyPreserveHost On

Order deny,allow

Deny from all

Allow from all

</directory>

RewriteEngine on

RewriteCond %{HTTP_HOST} ^([^:]+)(:[0-9]+)?$

RewriteRule (^\/gq\/v1\/.*) /scale-out-manager$1 [PT,L]

ProxyPass /scale-out-manager/ http://127.0.0.1:8007/

ProxyPassReverse /scale-out-manager/ http://127.0.0.1:8007/

ProxyPass /photostation !

ProxyPass /photo !

ProxyPass /musicstation !

ProxyPass /MSV2 !

ProxyPass /videostation !

ProxyPass /apps !

ProxyPass /RSS/images !

ProxyPass / http://127.0.0.1:58080/ max=16

</VirtualHost>

[~] #

father_mande · 5 avril 2014

Bonjour,

TOUT est O.K. ... je ne vois rien ... de mauvais ...

Essayez via le support ... mais je ne vois pas vraiment ce qui pourrait venir du QNAP (si cela fonctionne localement)

Je ne me rappelle pas si vous avez donné votre marque de routeur ?

Avez-vous une réponse ou simplement rien quand vous essayez (de l’extérieur bien sur)

Philippe.

Fripix · 6 avril 2014

Mon routeur est un Linksys E2000 sous DD-WRT v24-sp2 (03/25/13) big.

Concernant la réponse de l'extérieur, le navigateur met du temps à essayer de se connecter et Chrome affiche :

Page we inaccessible

Impossible de charger la page Web sur Google Chrome, car xxx.dyndns.org n'a pas répondu à temps. Il est possible que le site soit bloqué ou que vous rencontriez des problèmes avec votre connexion Internet.

father_mande · 6 avril 2014

Bonjour,

Je n'utilise, aussi, que des routeurs sous DD-WRT (même si je suis resté en 07/31/12 ... qui sont très stable pour mes Netgear) ...

Et je ne rencontre absolument pas ce type de problème.

Connectez-vous en ssh sur le routeur et vérifiez les Iptables ... listez même (et surtout) "nat" avec les POSTROUTING

comparez avec le QNAP en lançant sur le QNAP la commande :

upnpnc-static -l

Sur DD-WRT vérifiez aussi de ne pas avoir coché dans security / firewal le filtre WAN / NAT

puis dans Administration /management de ne PAS avoir validé https ... (pour l'instant)

Pour tester, vous pouvez aussi valider le ssh de DD-WRT avec TCP Forwarding ... (port A MODIFIER) ex. 22122 ou autre ... mais ne pas laisser 22 ou autre port connu ou existant dans votre réseau

puis vous vous connectez (de l’extérieur) sur ce ssh (root/password_du_routeur) ... Ce 1er point vérifiera que le routeur est visible d'Internet et associé au nom DNS ...

... puis ajoutez un tunnel vers le QNAP ... pour valider la chaîne de liaison jusqu'au QNAP

Philippe.

archimede333 · 6 avril 2014

Bonjour Fripix,

Dans votre dernier message, penser à éditer votre adresse DNS dynamique (citation du message de Chrome). Mettez en une bidon, genre : "mondns.dns.org"

Fripix · 9 avril 2014

Comment dire...

Il y a un détail que j'avais oublié...

J'ai un double NAT... Car le routeur que j'utilise pour mon réseau est derrière le modem/routeur de mon FAI.

A cause de la box TV qui passe aussi par mon FAI, je n'ai pas trouvé un réglage me permettant de désactiver le DHCP/NAT/QOS et compagnie pour que tout soit géré sur mon Linksys (le principale est le QOS + multicast que je n'arrive pas à configurer correctement pour que l'image ne soit pas horrible, pixelisée ou pas affichée).

Donc port pas ouvert sur le routeur de mon FAI, ça ne pouvait pas fonctionner.

Avec une mise à jour du routeur en question, j'ai une nouvelle option me permettant de ne plus gérer le NAT sur celui-ci (sans le mettre en mode pont ou NAT statique).

Mais malgré cela, je n'arrivais toujours pas à me connecter en https sur le port 443, 1700 ou 77. Pourtant avec un site permettant de scanner les ports ouverts, ils l'étaient bien.

J'ai donc mis le 8081 (qui fonctionnait pour l'accès au serveur web) et mis 8000 pour le web sécurisé.

Et maintenant tout fonctionne. Merci pour votre aide, malgré mon erreur de débutant!

Bonjour Fripix,

Dans votre dernier message, penser à éditer votre adresse DNS dynamique (citation du message de Chrome). Mettez en une bidon, genre : "mondns.dns.org"

Habituellement je fais attention à cela, ça m'a échappé. Merci pour le rappel, c'est modifié

archimede333 · 9 avril 2014

Il n'y a pas de quoi .

Le site qui permet de scanner votre réseau depuis l'extérieur ne verra que les ports ouverts depuis votre Box.

Théoriquement, en ouvrant le port 443 en interne et en externe dans votre box et votre routeur, cela devrai fonctionnait.

Je fonctionnais comme ça à un moment donnée (box opérateur + routeur linksys), je devais donc ouvrir le même port sur les deux équipements et jouer sur les redirections de ports, exemples :

1. Cas sans redirection de ports :

Internet | Box opérateur | Réseau interne (LAN) | Routeur Linksys | LAN (avec NAS)
443 (port externe box) <-> <-> 443 (port interne box) / 443 (port externe Linksys) <-> <-> 443 (port interne Linksys)

2. Cas avec redirection de ports :

[Résolu] Accès Distant Https

Question

Lien vers le commentaire

Partager sur d’autres sites

14 réponses à cette question

Messages recommandés

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Lien vers le commentaire

Partager sur d’autres sites

Join the conversation