Installer un reverse proxy (SWAG) sous Unraid 6.9.2 pour l'accès depuis l'extérieur à vos services

8. Swag installé et configuré correctement

A nouveau, vérifiez les logs de swag pour vérifier que tout va bien.
Pour cela, cliquez sur l'icône de swag, puis sur : Logs.

Dans ce cas-ci, des clés ont été générées dans le dossier "/config/keys" de votre container "swag".

Vous verrez la valeur des paramètres spécifiés précédemment, dont :

Plain Text

URL=informatiweb-tuto.net (votre domaine racine)
SUBDOMAINS=www (le ou les sous-domaines pour lesquels votre certificat SSL doit aussi être valide).
...
EMAIL=[votre adresse e-mail, si spécifiée]

Vous verrez également le domaine et le ou les sous-domaines pour lesquels sera valable votre certificat :

Plain Text

Sub-domains processed are: www.informatiweb-tuto.net
...
Requesting a certificate for informatiweb-tuto.net and www.informatiweb-tuto.net

En bas de page, vous verrez également qu'un nouveau certificat a été généré.
Note : un nouveau certificat sera généré à chaque fois que vous changerez la liste des sous-domaines dans la configuration du container "swag".
Ce qui arrivera à chaque fois que vous souhaitez sécuriser un nouveau service via swag.

Plain Text

New certificate generated; starting nginx.

Si tout est bon, vous verrez le message "Server ready" apparaitre à la dernière ligne.

9. Tester l'accès depuis l'extérieur à votre reverse proxy grâce au VPN d'Opera

Pour tester la configuration de swag, tentez d'accéder à votre domaine depuis l'extérieur (Internet).
Pour cela, téléchargez le navigateur web Opera (qui est gratuit) et activez son VPN. Sinon, vous pouvez aussi utiliser un autre service VPN ou votre connexion 3G (si vous avez un abonnement avec des données mobiles).

Important : vous ne pouvez pas accéder à votre adresse IP externe (WAN) depuis votre réseau local, car le loopback est bloqué par défaut dans les routeurs.
D'où la nécessité de vous trouver en dehors de votre réseau pour effectuer ce test. Ce qui est possible via un VPN ou une connexion 3G.

Grâce à ce VPN, votre connexion passera par un serveur VPN d'Opera.
Swag verra donc cette adresse IP au lieu de la vôtre comme adresse IP source.

Si votre configuration est correcte, vous verrez la page de SWAG en tapant votre domaine racine ou votre sous-domaine "www" (en utilisant le protocole HTTPS).

Plain Text

Welcome to your SWAG instance.

A webserver and reverse proxy solution brought to you by linuxserver.io with php support and a built-in Certbot client.

Si vous cliquez sur le petit cadenas, vous verrez que la connexion est sécurisée.

Si vous cliquez sur ce statut "La connexion est sécurisée", vous verrez votre nom de domaine racine apparaitre.
Cliquez sur "Certificat valide" (en dessous) pour voir les informations concernant celui-ci.

Comme vous pouvez le voir, votre certificat SSL est émis (généré) par "Let's Encrypt" et est valable pendant environ 3 mois.
Bien entendu, celui-ci sera renouvelé gratuitement un peu avant son expiration. Tant que "Let's Encrypt" a accès à SWAG via Internet (pour vérifier que vous êtes toujours le propriétaire de votre domaine).

Dans l'onglet "Détails", allez dans "Extensions -> Autre nom de l'objet du certificat".
En bas de page, vous verrez les noms DNS correspondants à votre nom de domaine racine, ainsi qu'aux sous-domaines indiqués lors de la configuration de votre container "swag".

Dans notre cas :

Plain Text

Nom DNS: informatiweb-tuto.net
Nom DNS: www.informatiweb-tuto.net

10. Modèles pour le reverse proxy

Pour qu'un service hébergé sous Unraid puisse être accessible via votre reverse proxy, vous devrez ajouter un fichier de configuration à nginx.
Pour cela, il suffit généralement de se baser sur un fichier déjà existant pour le service souhaité (sinon basez-vous sur le fichier de configuration d'un service similaire).

Pour cela, cliquez sur l'icône de swag, puis sur : Console.

Important : vous devez accéder à la console de votre container "swag" et NON ouvrir le terminal d'Unraid.

Dans la console qui apparait, tapez les commandes suivantes pour voir la liste des modèles disponibles pour le reverse proxy nginx.

Bash

cd /config/nginx/proxy-confs/
ls

Comme vous pouvez le voir, de nombreux modèles sont disponibles pour différents services connus (emby, nextcloud, phpmyadmin, plex, ...) pour pouvoir accéder à ceux-ci via votre reverse proxy en utilisant un sous-domaine (ex : plex.mon-domaine.com) ou un sous-dossier (ex : mon-domaine.com/plex/).

Pour voir à quoi ressemblent ces fichiers, ouvrez, par exemple, celui fourni pour "plex".

Plain Text

nano plex.subdomain.conf.sample

Note : les fichiers ".sample" ne sont pas utilisés par "nginx".
Pour les utiliser, il suffit de créer une copie du fichier souhaité en retirant l'extension ".sample".

Comme vous pouvez le voir, l'accès au service souhaité sera possible de façon sécurisée (via ssl sur le port 443 (HTTPS)).
Note : "http2" indique simplement que la version 2 du protocole HTTP sera utilisée au lieu de l'ancienne version "1.0" ou "1.1".

Dans le cas de "plex", vous pourrez y accéder depuis Internet via le sous-domaine "plex".

Plain Text

listen 443 ssl http2;
listen [::]:443 ssl http2;

server_name plex.*;

Plus bas, vous remarquerez des lignes qui apparaitront également pour d'autres services Unraid.

En résumé :

• les lignes "set upstream... ...;" indiquent le nom du container Docker cible, le port sur lequel vous vous connecteriez en local pour ce service et le protocole à utiliser (par défaut : http).
• les lignes "proxy_set_header" sont des headers HTTP requis pour accéder au service souhaité hébergé sur votre serveur Unraid.

Généralement, tout est déjà configuré correctement.
Néanmoins, dans le cas où vous changeriez le nom par défaut d'un container Docker ou le port sur lequel il écoute principalement, vous devrez peut-être modifier une des variables "$upstream_...".

Plain Text

set $upstream_app plex;
set $upstream_port 32400;
set $upstream_proto http;

proxy_pass $upstream_proto://$upstream_app:$upstream_port;
proxy_set_header X-Plex-Client-Identifier $http_x_plex_client_identifier;
proxy_set_header X-Plex-Device $http_x_plex_device;
proxy_set_header X-Plex-Device-Name $http_x_plex_device_name;