billisdead/n8n-mobile
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

docs: simplify HAPROXY.md for existing setup

Browse Source 
Config ciblée sur le backend n8n existant — juste le delta à appliquer.
Token requis uniquement hors LAN/IP fixe, LAN reste en accès direct.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
This commit is contained in:
billisdead
2026-05-20 18:33:06 +02:00
parent 46a1e82cfa
commit 00b2c5db85
1 changed files with 58 additions and 157 deletions
Download Patch File Download Diff File Expand all files Collapse all files
docs/HAPROXY.md
+57 -156
View File
@@ -1,195 +1,96 @@
# Configuration HAProxy pour n8n Pilot # Configuration HAProxy pour n8n Pilot
## Architecture ## Contexte
``` n8n est déjà exposé via HAProxy à `https://n8n.gyozamancave.fr`.
Android App → HTTPS → HAProxy (443) → HTTP → n8n (5678) Il suffit d'ajouter la validation du `X-App-Token` dans le backend existant **sans toucher au frontend**.
Validation X-App-Token
Rate limiting
TLS termination
```
HAProxy agit comme reverse proxy devant n8n. Il :
1. Termine TLS (certificat Let's Encrypt ou autosigné)
2. Valide le header `X-App-Token` (token secret partagé)
3. Applique du rate limiting pour protéger l'API
4. Forward les requêtes vers n8n en HTTP interne
--- ---
## Configuration HAProxy complète ## Modification à apporter — backend n8n uniquement
Remplacer le backend `n8n-backend` actuel par :
```haproxy ```haproxy
#--------------------------------------------------------------------- backend n8n-backend
# global : paramètres du processus HAProxy
#---------------------------------------------------------------------
global
log /dev/log local0
log /dev/log local1 notice
maxconn 2000
daemon
#---------------------------------------------------------------------
# defaults : valeurs par défaut pour tous les frontends/backends
#---------------------------------------------------------------------
defaults
log global
mode http mode http
option httplog balance source
option dontlognull
timeout connect 5s
timeout client 30s
timeout server 30s
# Timeout plus long pour les webhooks n8n qui peuvent prendre du temps
timeout tunnel 3600s
#--------------------------------------------------------------------- # IPs qui ne nécessitent pas le X-App-Token (LAN + IP fixe perso)
# frontend : point d'entrée HTTPS sur le port 443 acl is_local src 192.168.1.0/24 192.168.2.0/24 82.67.3.126/32
#---------------------------------------------------------------------
frontend n8n_pilot_frontend
bind *:443 ssl crt /etc/ssl/n8n/fullchain.pem alpn h2,http/1.1
# Sécurité TLS : désactiver les versions obsolètes # Validation du token pour les accès extérieurs (mobile app)
ssl-min-ver TLSv1.2
# Headers de sécurité injectés sur toutes les réponses
http-response set-header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
http-response set-header X-Content-Type-Options "nosniff"
http-response set-header X-Frame-Options "DENY"
# ACL : vérification du X-App-Token
# La valeur doit correspondre exactement au token configuré dans l'app
acl valid_app_token req.hdr(X-App-Token) -m str "VOTRE_TOKEN_ICI" acl valid_app_token req.hdr(X-App-Token) -m str "VOTRE_TOKEN_ICI"
http-request deny deny_status 403 if !is_local !valid_app_token
# Refuser les requêtes sans token valide avec 403 # Supprimer le token avant de forwarder à n8n (n8n ne doit pas le voir)
http-request deny deny_status 403 if !valid_app_token
# Rate limiting : max 60 requêtes par minute par IP
# Protège contre les scripts de scan et les abus
stick-table type ip size 100k expire 60s store http_req_rate(60s)
http-request track-sc0 src
http-request deny deny_status 429 if { sc_http_req_rate(0) gt 60 }
# Redirection HTTP → HTTPS (optionnel si port 80 ouvert)
# redirect scheme https if !{ ssl_fc }
default_backend n8n_backend
#---------------------------------------------------------------------
# backend : instance n8n locale
#---------------------------------------------------------------------
backend n8n_backend
balance roundrobin
# Supprimer le X-App-Token avant de forwarder à n8n (ne doit pas atteindre n8n)
http-request del-header X-App-Token http-request del-header X-App-Token
# Health check : n8n répond sur /healthz http-request set-header X-Forwarded-Proto https if { ssl_fc }
option httpchk GET /healthz http-request set-header X-Real-IP %[src]
http-check expect status 200 http-request set-header X-Forwarded-For %[src]
http-request set-header Host %[req.hdr(host)]
option forwardfor
server n8n 192.168.1.56:5678
```
server n8n_local 127.0.0.1:5678 check inter 10s fall 3 rise 2 **Logique** :
- Depuis le LAN (`192.168.1/2.x`) ou ton IP fixe → accès direct, pas de token requis (navigation normale dans n8n)
- Depuis l'extérieur (mobile app 4G/5G) → `X-App-Token` obligatoire, sinon 403
---
## Appliquer la modification
```bash
# Valider la syntaxe avant rechargement
haproxy -f /etc/haproxy/haproxy.cfg -c
# Rechargement gracieux (sans coupure)
systemctl reload haproxy
``` ```
--- ---
## Rotation du X-App-Token ## Générer un token solide
Le token doit être tourné régulièrement (recommandé : tous les 90 jours minimum). ```bash
openssl rand -hex 32
```
### Procédure de rotation sans downtime Copier la valeur générée dans :
1. La config HAProxy (`VOTRE_TOKEN_ICI` ci-dessus)
2. L'app Android : Paramètres > Token HAProxy > Sauvegarder
1. **Générer un nouveau token** : ---
```bash
openssl rand -hex 32
# Exemple : a3f8b2c1d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1
```
2. **Phase de transition — accepter les deux tokens** : ## Rotation du token
```haproxy
# Accepter l'ancien ET le nouveau pendant la transition 1. Générer un nouveau token (`openssl rand -hex 32`)
2. Ajouter temporairement les **deux** ACLs dans HAProxy pour éviter les coupures :
```haproxy
acl valid_app_token req.hdr(X-App-Token) -m str "ANCIEN_TOKEN" acl valid_app_token req.hdr(X-App-Token) -m str "ANCIEN_TOKEN"
acl valid_app_token_new req.hdr(X-App-Token) -m str "NOUVEAU_TOKEN" acl valid_app_token_new req.hdr(X-App-Token) -m str "NOUVEAU_TOKEN"
http-request deny deny_status 403 if !valid_app_token !valid_app_token_new http-request deny deny_status 403 if !is_local !valid_app_token !valid_app_token_new
``` ```
3. **Mettre à jour l'app** sur tous les appareils (Paramètres > Token HAProxy > Sauvegarder) 3. Mettre à jour le token dans l'app (Paramètres > Token HAProxy)
4. Retirer l'ancien token de la config HAProxy
4. **Retirer l'ancien token** de HAProxy une fois tous les appareils mis à jour : 5. `systemctl reload haproxy`
```haproxy
acl valid_app_token req.hdr(X-App-Token) -m str "NOUVEAU_TOKEN"
http-request deny deny_status 403 if !valid_app_token
```
5. **Recharger HAProxy** sans coupure :
```bash
haproxy -f /etc/haproxy/haproxy.cfg -c # Valider la config
systemctl reload haproxy # Rechargement gracieux
```
--- ---
## Troubleshooting ## Troubleshooting
### Erreur 403 Forbidden **403 depuis l'app** → token absent ou incorrect. Tester :
**Cause** : `X-App-Token` absent ou incorrect.
**Diagnostic** :
```bash ```bash
# Tester manuellement avec curl curl -v -H "X-App-Token: VOTRE_TOKEN" https://n8n.gyozamancave.fr/api/v1/workflows
curl -v -H "X-App-Token: VOTRE_TOKEN" https://n8n.votre-domaine.com/api/v1/workflows
``` ```
**Solutions** : **403 depuis le navigateur** → vérifier que l'IP source est bien dans `is_local`. Depuis un VPN ou tethering, l'IP peut ne pas matcher.
- Vérifier que le token dans l'app (Paramètres) correspond exactement à la config HAProxy
- Contrôler les espaces ou caractères invisibles dans le token
- Vérifier les logs HAProxy : `journalctl -u haproxy -f`
--- **Logs HAProxy en direct** :
### Erreur 429 Too Many Requests
**Cause** : rate limit dépassé (> 60 req/min).
**Solutions** :
- Augmenter l'intervalle de polling dans l'app (Paramètres > Intervalle)
- Ajuster la limite dans HAProxy si l'usage légitime est plus élevé
- Vérifier qu'aucun processus tiers ne spam l'endpoint
---
### Timeout / connexion refusée
**Cause** : n8n inaccessible sur le port 5678, ou HAProxy mal configuré.
**Diagnostic** :
```bash ```bash
# Vérifier que n8n tourne
curl http://127.0.0.1:5678/healthz
# Vérifier le statut HAProxy
systemctl status haproxy
haproxy -f /etc/haproxy/haproxy.cfg -c
# Logs HAProxy en temps réel
journalctl -u haproxy -f journalctl -u haproxy -f
``` ```
---
### Certificat TLS expiré
```bash
# Renouveler avec Certbot
certbot renew --quiet
# Recharger HAProxy pour prendre en compte le nouveau certificat
systemctl reload haproxy
```
Automatiser le renouvellement :
```bash
# Ajouter dans crontab (root)
0 3 * * 1 certbot renew --quiet && systemctl reload haproxy
```