Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 1

http reverse proxy

Cha-Cha

Asked by Cha-Cha,

 Share

Question

Cha-Cha Advanced Member

Cha-Cha

Posted
Posted (edited)

Расскажите как использовать? Правильно ли я понимаю, что name domain нужно будет задавать на своём dns сервере? Как-то странно это выглядит...

Edited by Cha-Cha
  • Thanks 1
Link to comment
Share on other sites

40 answers to this question

Recommended Posts

  • 0
sonor Newbie

sonor

Posted
Posted

Добрый день, а как обстоят дела с настройка прав доступ к опубликованным приложениям с локальной сети, но не из домашнего сегмента, например, с IPsecIKEv2 впн подключаюсь к роутеру и при попытке доступа к опубликованному в режиме "private" получаю 403 Forbidden.

Наружу публиковать не хочется, а вот доступ настроить из других сегментов нужно.

Link to comment
Share on other sites
  • 0
sonor Newbie

sonor

Posted
Posted
24 минуты назад, sonor сказал:

Добрый день, а как обстоят дела с настройка прав доступ к опубликованным приложениям с локальной сети, но не из домашнего сегмента, например, с IPsecIKEv2 впн подключаюсь к роутеру и при попытке доступа к опубликованному в режиме "private" получаю 403 Forbidden.

Наружу публиковать не хочется, а вот доступ настроить из других сегментов нужно.

Сам задал и сам сразу разобрался, трафик с ipsec не считается тунельным, а "приходит" на WAN интерфейс, поэтому проблема решилась переключением режима публикации в public с настройкой firewall, разрешить трафик на порты 80,443 с ip подсети используемой в ipsec и запретить всем остальным.

Link to comment
Share on other sites
  • 0
taravasya Member

taravasya

Posted
Posted (edited)

Здравствуйте! У меня в локальной сети, два разных компьютера, на обоих работают два разных web сервера. Штатными настройками я могу переадресовать http/https запросы, только на один из них. В поисках решения наткнулся на эту тему, и вот не могу понять, возможно ли как-то так решить мою задачу?

 

(config)> ip http proxy domain2
(config-http-proxy)> domain static domain2.com
(config-http-proxy)> upstream http 192.168.1.2 80
(config-http-proxy)> upstream https 192.168.1.2 443
(config-http-proxy)> allow public

(config)> ip http proxy domain3
(config-http-proxy)> domain static domain3.com
(config-http-proxy)> upstream http 192.168.1.3 80
(config-http-proxy)> upstream https 192.168.1.3 443
(config-http-proxy)> allow public

Edited by taravasya
Link to comment
Share on other sites
  • 0
Denis P Honored Flooder

Denis P

Posted
Posted
9 часов назад, taravasya сказал:

Штатными настройками я могу переадресовать http/https запросы, только на один из них

Ничего подобного, можно хоть 10, нужны только разные домены 4го уровня.

Вот только зачем вы указываете в upstream сразу и 80 и 443 порт не совсем понятно. 

Link to comment
Share on other sites
  • 0
taravasya Member

taravasya

Posted
Posted (edited)
В 29.06.2024 в 11:53, Denis P сказал:

Ничего подобного, можно хоть 10, нужны только разные домены 4го уровня

При наличии ещё чего-нибудь, можно ещё что-нибудь, что угодно сделать. У меня ситуация описанная выше, а не "разные домены 4го уровня".

 

В 29.06.2024 в 11:53, Denis P сказал:

Вот только зачем вы указываете в upstream сразу и 80 и 443 порт не совсем понятно. 

Потому что нужен доступ по обоим протоколам, кэп...

Edited by taravasya
Link to comment
Share on other sites
  • 0
Denis P Honored Flooder

Denis P

Posted
Posted (edited)
16 минут назад, taravasya сказал:

Потому что нужен доступ по обоим протоколам, кэп...

И как это должно происходить? По настроению? При обращении на https://domain2.com или https://domain3.com в куда пакеты будем слать на 443 или на 80 на адрес за проксей?

Edited by Denis P
Link to comment
Share on other sites
  • 0
andrey.lysikov Newbie

andrey.lysikov

Posted
Posted (edited)

Привет, недавно как раз разбирался с доменами, работать должно вот так (делаем через CLI, надо чтобы обязательно был установлен KenDNS для https):

Надо чтобы была переадресация всего трафика (и веб морды тоже) автоматом с 80 на 433 порт:

(config)> ip http port 80
(config)> ip http security-level public ssl
(config)> ip http ssl enable
(config)> ip http ssl redirect

Далее добавляем свои домены:

(config)> ip http proxy subdomain1
(config-http-proxy)> domain static domain1.com
(config-http-proxy)> upstream http 192.168.1.3 80
(config-http-proxy)> allow public
(config-http-proxy)> ssl redirect
(config-http-proxy)> x-real-ip

(config)> ip http proxy subdomain2
(config-http-proxy)> domain static domain1.com
(config-http-proxy)> upstream http 192.168.1.5 80
(config-http-proxy)> allow public
(config-http-proxy)> ssl redirect
(config-http-proxy)> x-real-ip

(config)> ip http proxy subdomain1
(config-http-proxy)> domain static domain2.com
(config-http-proxy)> upstream http 192.168.1.7 80
(config-http-proxy)> allow public
(config-http-proxy)> ssl redirect
(config-http-proxy)> x-real-ip

Причем вместо 192.168.1.3/192.168.1.5/192.168.1.7 можно использовать MAC адрес устройства, тогда будет привязка не к IP а к MAC, и при изменении IP трафик пойдет на тоже устройство. Порт тут может быть как и 80 так и 443, без разницы (если у тебя там SSL, то его сертификат будет игнорироваться). Так-же оба домена могут смотреть на один адрес и порт, но там тебе тогда правильно надо настроить веб сервер. 

Теперь надо получить сертификаты, для корректной работы SSL:

(config)> ip http ssl acme get subdomain1.domain1.com
(config)> ip http ssl acme get subdomain2.domain1.com
(config)> ip http ssl acme get subdomain1.domain2.com

Между командами надо выжидать паузу, так как при ее выполнение происходит выдача сертификата (пару минут). 

Все, теперь твой трафик идет с твоих собственных доменов, напрямую через Кинетик на хост внутри твоей сети. Но тут есть пару вопросов на которые у меня пока ответа нет, почему для использования Acme надо обязательно ставить KeenDNS (ну т.е. можно было просто в системный компонент его положить или в DynDNS компонент, так было-бы правильнее). И вопрос, будет ли обновлен SSL сертификат автоматически или нет. Ну т.е. мне придется опять его выпускать когда он просрочится или Кинетик сам его перевыпустит. 

 

Edited by andrey.lysikov
  • Upvote 1
Link to comment
Share on other sites
  • 0
Denis P Honored Flooder

Denis P

Posted
Posted
3 часа назад, andrey.lysikov сказал:

почему для использования Acme надо обязательно ставить KeenDNS

Наверное потому что получение сертификата на сторонний домен это приятный бонус, а не основная фича?

3 часа назад, andrey.lysikov сказал:

будет ли обновлен SSL сертификат автоматически или нет

Будет

Список сертификатов и их статус можно посмотреть через

ip http ssl acme list

Link to comment
Share on other sites
  • 0
andrey.lysikov Newbie

andrey.lysikov

Posted
Posted
2 часа назад, Denis P сказал:

Будет

certificate: 
domain: XXX.XXX
is-ndns: no
should-be-renewed: no
is-expired: no
issue-time: 2024-07-04T11:36:49.000Z
expiration-time: 2024-10-01T11:36:49.000Z

Будем смотреть, но что-то пока уверенности нет ))

2 часа назад, Denis P сказал:

Наверное потому что получение сертификата на сторонний домен это приятный бонус, а не основная фича?

Тут наверно надо исходить из логики, почему в KeenDNS есть компонент Acme, а в DynDNS нет? Я-же может не просто так добавляю свой домен в DynDNS ) возможно стоит функционал субдоменов скопировать так-же и в компонент DynDNS, чтобы можно было и их там тоже добавлять, ну или добавить туда Acme. 

 

Link to comment
Share on other sites
  • 0
Denis P Honored Flooder

Denis P

Posted
Posted
21 час назад, andrey.lysikov сказал:

should-be-renewed: no

Это означает что сертификат не требует обновления.

Обратите внимание на подобные записи для доменов keendns, там будет всё точно так же.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...