Instruction

Applicable model: All TNAS models

If you wish to re-install the TOS system, or your TNAS encounters a failure and needs to reinstall TOS, please refer to the following guidelines:

Method 1: If your TOS system is still working

1. Log in to TOS and go to TOS Desktop> Control Panel> General Settings> Update and Restore> Backup and Restore;

2. Tick « Backup system configuration » to back up your system configuration;

3. Go to TOS Desktop> Control Panel> General Settings> Update and Restore> Restore to Factory Default;

4. Tick « Restore to factory default », and then click « Apply »; your system will be erased, but the data on the hard drives will not be deleted;
5. Refresh the browser page, and follow guide on the page to install a new TOS;
6. If the page refresh fails, please use TNAS PC to search for your TNAS device; Then select the device and click « Login »; Follow the web page to install the new TOS;
7. After the system installation is complete, log in to TOS and go to TOS desktop> Control Panel> General Settings> Update and Restore> Backup and Restore to restore your backed up system configuration.

Note: After installation-restart-setting the account password, if it prompts to initialize the raid, please do not continue and contact our support team.

Method 2: If your TOS system encounters a malfunction and cannot work properly

1. Turn off your TNAS device;
2. Remove all hard drives;
3. Turn on your TNAS;
4. Wait about two minutes, after the network light is on, insert your hard drives;
5. Use TNAS PC to search for your TNAS device;
6. Select the device and click « Login »; Follow the instructions on the web page to install the new TOS system.

Note: Reinstalling the system normally will not delete the data on your hard drives, BUT to prevent accidents，it is recommanded to backup your data before reinstalling. If you have any questions when operating the above steps, please contact us in time.
Note: After installation-restart-setting the account password, if it prompts to initialize the raid, please do not continue and contact our support team.

La sécurisation des serveurs Web représente un challenge de taille pour les administrateurs réseaux. En effet, toutes les actions effectuées en ligne tels que l’utilisation d’internet et l’envoi d’emails passent obligatoirement par le réseau public. De ce fait, une simple connexion à internet suffit à rendre ces systèmes vulnérables aux logiciels malveillants.. C’est la raison pour laquelle, un composant réseau appelé reverse-proxy (proxy inverse) est utilisé.

Qu’est ce qu’un reverse-proxy ?

Pour vous résumer, le reverse-proxy est un intermédiaire de communication réseau recevant des requêtes afin de les transmettre à l’ordinateur cible. Lorsque l’on parle de réseau d’entreprise, on parle souvent de reverse-proxy car ce système est largement utilisé afin de fournir un accès sécurisé et contrôlable par les utilisateurs.

Un serveur proxy a pour fonction de canaliser toutes les requêtes du réseau interne pour les transmettre sur le serveur. De plus, et afin d’économiser de la bande passante, les serveurs proxy sont généralement configurés afin de pouvoir mettre en cache les données fréquemment demandées, ce qui limite le nombre de requêtes utilisées pour les afficher.

Alors qu’un Forward-proxy protège les appareils clients des mauvaises influences du réseau public, un reverse proxy opère exactement dans le sens contraire. En effet, ce système sert de sécurité supplémentaire et protège les serveurs Web.

Fonctionnement d’un reverse-proxy

Protégé par un parefeu, les serveurs reverse-proxy se trouve en général dans un réseau interne. Il s’agit de la seule connexion entre internet et le réseau privé. Toutes les requêtes passent par ce réseau avant d’être transférées au systèmes ciblés. Voyez ci-dessous les différentes applications d’un serveur reverse-proxy:

• Anonymisation: Le reverse-proxy intercepte toutes les requêtes avant de les transmettre au système ciblé.
• Encodage et protection: Le reverse-proxy propose l’installation de systèmes de contrôle comme un antivirus afin de filtrer les paquets reçus et renforcer la protections des serveurs.
• Répartition de charge: Il permet la mise en place d’un répartiteur de charge, en anglais load-balancing. Ce système empêche la surcharge d’un système. En cas de panne d’un serveur, ce système va redistribuer les requêtes entrantes sur d’autres serveurs disponibles.
• Caching: Il permet d’accélérer la vitesse du service grâce à son système de mise en cache.
• Compression: un serveur reverse-proxy peut aussi compresser les données entrantes et sortantes. Ce type de serveur est souvent utilisé en combinaison avec Apache et nginx.

Comment configurer Apache comme Reverse-proxy ?

Il est possible d’installer un serveur reverse-proxy sur un serveur Apache. En effet, Apache dispose de modules d’extension permettant d’installer la fonction proxy. Ce dernier peut être installer rapidement grâce à quelques lignes de codes. Ci-dessous, le guide va vous expliquer comment installer un reverse-proxy sur un système d’exploitation Ubuntu comprenant un serveur Apache.

Installer le module proxy d’Apache

Afin de pouvoir utiliser un serveur Apache comme reverse-proxy, il vous faudra le module mod_proxy. Ce module permettra d’améliorer de façon considérable les fonctionnalités de bases, mais peut aussi être accentué par diverses extensions complémentaires:

• mod_proxy_http: dispose de toutes les fonctionnalités pour les requêtes HTTP et HTTPS.
• mod_proxy_ftp: nécessaire afin de disposer des fonctions de proxy pour les requêtes FTP.
• mod_proxy_connect: dispose des fonctionnalités proxy pour le tunnel SSL.
• mod_cache, mod_disk_cache et mod_mem_cache: installe les fonctions de cache afin de stocker le contenu sur la mémoire cache de votre serveur Apache.
• mod_proxy_html: active la réécriture des liens
• mod_headers: permet la modification des entêtes HTTP
• mod_deflate: permet la compression

Afin de pouvoir tout installer, la ligne de commande est la suivante:

$ sudo apt-get install libapache2-mod-proxy-html

Comment activer les modules requis ?

Vous pouvez activer les modules requis d’Apache en utilisant la commande a2enmod.  Si vous désirez désactiver un module actif, il vous suffira d’utiliser la commande a2dismod. Afin de charger les modulesmod_prox et mod_proxy_http, tapez les commandes suivantes:

$ sudo a2enmod proxy
$ sudo a2enmod proxy_http

Une fois les modules activés, il est nécessaire de redémarrer le serveur Apache:

$ sudo apache2 reload

Comment créer le fichier de configuration ?

Afin que le serveur reverse-proxy accepte les requêtes et puissent les transmettre aux bons serveurs sur votre réseau, il faut désactiver le fichier de configuration 000-default.conf se trouvant dans le répertoire /etc/apache2/sites-enabled et le remplacer par un fichier hôte virtuel comme example.conf. Il est préférable de créer un fichier hôte pour chaque serveur cible. Chaque fichier hôte doit avoir sa propre adresse ip:

<VirtualHost *:80>
ServerName domaine.td
ServerAlias www.domaine.td
ProxyRequests Off
ProxyPass / http://123.456.7.89/
ProxyPassReverse / http://123.456.7.89/
</VirtualHost>

Les instructions pour le fonctionnement de la fonction proxy sont définies par la commande <VirtualHost>. Dans le fichier, vous y trouverez les commandes suivantes:

• ServerName: Cette commande défini le nom du premier serveur sur internet. Sur l’exemple ci-dessus, le serveur Apache est programmé pour accepter toutes les requêtes du domaine “domaine.td“.
• ProxyPass: Cette commande défini l’adresse cible pour la redirection.
• ProxyPassReverse: Cette balise va réécrire l’en-tête des réponses du serveur pour qu’elles puissent être en accord avec le serveur proxy.

L’exemple ci-dessus dispose aussi de deux autres commandes qui sont les suivantes:

• ServerAlias: cette commande va permettre d’autoriser un nom différent pour le serveur cible.
• ProxyRequest: Cette commande va permettre de refuser l’utilisation du serveur Apache comme un proxy-forward.

Si vous avez bien défini les règles, il vous suffit d’activer la configuration par le biais du terminal de commande:

$ sudo a2ensite example.conf

Conclusion

Vous êtes désormais  en mesure de savoir ce qu’est un serveur Reverse-proxy et faire la différence entre un serveur reverse-proxy et un proxy-forward.

Source : Routeur Hamnet sur OrangePi 0 / Linux | F5NLG – SvxLink –

 

 

La configuration choisie est internet via le wifi , accès au réseau Hamnet sur le Xspotnik ou spotnik , Internet (et VPN) via le Wifi , sortie routeur sur la RJ45 ! d’autres solutions existen…

1er Partie le VPN et la route pour le réseau 44 :

Pré requis , obtenir les informations pour le réseau Hamnet auprès de F6CNB ou F1TZV.

• adresse IP routeur    : 44.168.X.Y
• adresse IP gateway   : 44.168.X.Z
• nom d’utilisateur      : f4xxx-routeur
• mot de passe              : SuperMotDePasseHyperComplique
• serveur pptp              : hamnet.fr

1/ étape ajouter le vpn pptp

apt-get install pptp-linux 

2/ le fichier VPN HAMNET à créer

mcedit /etc/ppp/peers/HAMNET

pty "pptp hamnet.fr --nolaunchpppd --nobuffer --timeout 10"
  name f4xxx-router
  persist
  holdoff 30
  mtu 1400
  maxfail 0
  remotename pptp
  require-mppe-128
  refuse-eap
  nobsdcomp
  nodeflate
  file /etc/ppp/options.pptp
  ipparam HAMNE

3/ modifier le fichier /etc/ppp/chap-secret

mcedit /etc/ppp/chap-secret

# Secrets for authentication using CHAP
# client                    server                                    secret                                          IP addresses

f4xxx-router           pptp           SuperMotDePasseHyperComplique                           *

4/ tester que ça fonctionne :

pon HAMNET

en cas de soucis : pon HAMNET debug dump logfd 2 nodetach qui donne le log a l’écran.

tapez ifconfig : vous devez avoir une interface ppp0 monté avec les adresses 44.168.X.Y et 44.168.X.Z

5/ on arrête le vpn :

poff HAMNET 

6/ rajouter une route dans /etc/ppp/ip-up

mcedit /etc/ppp/ip-up

#!/bin/sh
#
# This script is run by the pppd after the link is established.
# It uses run-parts to run scripts in /etc/ppp/ip-up.d, so to add routes,
# set IP address, run the mailq etc. you should create script(s) there.
#
# Be aware that other packages may include /etc/ppp/ip-up.d scripts (named
# after that package), so choose local script names with that in mind.
#
# This script is called with the following arguments:
# Arg Name Example
# $1 Interface name ppp0
# $2 The tty ttyS1
# $3 The link speed 38400
# $4 Local IP number 12.34.56.78
# $5 Peer IP number 12.34.56.99
# $6 Optional « ipparam » value foo

# The environment is cleared before executing this script
# so the path must be reset
PATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin
export PATH

# These variables are for the use of the scripts run by run-parts
PPP_IFACE= »$1″
PPP_TTY= »$2″
PPP_SPEED= »$3″
PPP_LOCAL= »$4″
PPP_REMOTE= »$5″
PPP_IPPARAM= »$6″
export PPP_IFACE PPP_TTY PPP_SPEED PPP_LOCAL PPP_REMOTE PPP_IPPARAM

route add -net 44.0.0.0 netmask 255.0.0.0 dev ppp0

# as an additional convenience, $PPP_TTYNAME is set to the tty name,
# stripped of /dev/ (if present) for easier matching.
PPP_TTYNAME=`/usr/bin/basename « $2″`
export PPP_TTYNAME

# If /var/log/ppp-ipupdown.log exists use it for logging.
if [ -e /var/log/ppp-ipupdown.log ]; then
exec > /var/log/ppp-ipupdown.log 2>&1
echo $0 $@
echo
fi

# This script can be used to override the .d files supplied by other packages.
if [ -x /etc/ppp/ip-up.local ]; then
exec /etc/ppp/ip-up.local « $@ »
fi

run-parts /etc/ppp/ip-up.d \
–arg= »$1″ –arg= »$2″ –arg= »$3″ –arg= »$4″ –arg= »$5″ –arg= »$6″

# if pon was called with the « quick » argument, stop pppd
if [ -e /var/run/ppp-quick ]; then
rm /var/run/ppp-quick
wait
kill $PPPD_PID
fi

7/ et enfin supprimer la route dans /etc/ppp/ip-down

mcedit /etc/ppp/ip-down

#!/bin/sh
#
# This script is run by the pppd _after_ the link is brought down.
# It uses run-parts to run scripts in /etc/ppp/ip-down.d, so to delete
# routes, unset IP addresses etc. you should create script(s) there.
#
# Be aware that other packages may include /etc/ppp/ip-down.d scripts (named
# after that package), so choose local script names with that in mind.
#
# This script is called with the following arguments:
# Arg Name Example
# $1 Interface name ppp0
# $2 The tty ttyS1
# $3 The link speed 38400
# $4 Local IP number 12.34.56.78
# $5 Peer IP number 12.34.56.99
# $6 Optional « ipparam » value foo

# The environment is cleared before executing this script
# so the path must be reset
PATH=/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin
export PATH

# These variables are for the use of the scripts run by run-parts
PPP_IFACE= »$1″
PPP_TTY= »$2″
PPP_SPEED= »$3″
PPP_LOCAL= »$4″
PPP_REMOTE= »$5″
PPP_IPPARAM= »$6″
export PPP_IFACE PPP_TTY PPP_SPEED PPP_LOCAL PPP_REMOTE PPP_IPPARAM

route del -net 44.0.0.0 netmask 255.0.0.0 dev ppp0

# as an additional convenience, $PPP_TTYNAME is set to the tty name,
# stripped of /dev/ (if present) for easier matching.
PPP_TTYNAME=`/usr/bin/basename « $2″`
export PPP_TTYNAME

# If /var/log/ppp-ipupdown.log exists use it for logging.
if [ -e /var/log/ppp-ipupdown.log ]; then
exec >> /var/log/ppp-ipupdown.log 2>&1
echo $0 $@
echo
fi

# This script can be used to override the .d files supplied by other packages.
if [ -x /etc/ppp/ip-down.local ]; then
exec /etc/ppp/ip-down.local « $@ »
fi

run-parts /etc/ppp/ip-down.d \
–arg= »$1″ –arg= »$2″ –arg= »$3″ –arg= »$4″ –arg= »$5″ –arg= »$6″

Le VPN est fonctionnel a ce stade , si vous ne souhaiter pas utiliser le réseau Hamnet sur une autre machine la configuration s’arrête la .

pon HAMNET lance le VPN sur Hamnet

poff HAMNET arrete le VPN sur Hamnet.

2eme Partie le DHCP , le NAT , le firewall , et la configuration de l’interface RJ45 eth0

apt-get install isc-dhcp-server

on configure le DHCP sur l’interface eth0

mcedit  /etc/dhcp/dhcpd.conf

authoritative;
option domain-name "Hamnet";
subnet 192.168.44.0 netmask 255.255.255.0 {
range 192.168.44.2 192.168.44.254;
option routers 192.168.44.1;
option domain-name-servers 8.8.8.8, 8.8.4.4; }

on va configurer 2 scripts dans /root pour le démarrage , le firewall , et l’arrêt .

mcedit /root/hamnet_on

#!/bin/bash
  #
  pon HAMNET
  # on active le routage 
  sh -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'

# on configure l'interface RJ45 en 192.168.44.1
  ifconfig eth0 192.168.44.1 netmask 255.255.255.0

# on lance le dhcpcd
  service isc-dhcp-server start

# on applique les règles de Firewall et masqueradd
  iptables --insert OUTPUT 1 --source 0.0.0.0/0.0.0.0 --destination 44.0.0.0/8 --jump ACCEPT --out-interface ppp0
  iptables --insert INPUT 1 --source 44.0.0.0/8 --destination 0.0.0.0/0.0.0.0 --jump ACCEPT --in-interface ppp0
  iptables --insert FORWARD 1 --source 0.0.0.0/0.0.0.0 --destination 44.0.0.0/8 --jump ACCEPT --out-interface ppp0
  iptables --insert FORWARD 1 --source 44.0.0.0/8 --destination 0.0.0.0/0.0.0.0 --jump ACCEPT

  iptables --table nat --append POSTROUTING --out-interface ppp0 --jump MASQUERADE
  iptables --append FORWARD --protocol tcp --tcp-flags SYN,RST SYN --jump TCPMSS --clamp-mss-to-pmtu

on rends le fichier  exécutable : chmod +x hamnet_on

on édite le fichier hamnet_off

mcedit /root/hamnet_off

  #!/bin/bash
  #
  # on arrête le Firewall
  iptables -F
  # on arrête le DHCP
  service isc-dhcp-server stop
  # on arrête le VPN
  poff HAMNET

on rends le fichier exécutable : chmod +x hamnet_off

on lance le vpn ./hamnet_on et on test dans midori par exemple sur le xspotnik ici le site hamnet de f5ktr.

Source : Routeur Hamnet sur OrangePi 0 / Linux | F5NLG – SvxLink –