Обратный прокси

[Павел Черкашин]

Подскажите, можно ли настроить кинетик, что бы при обращении на адрес XXX.domain.ru шла переадресация на 80 порт компьютера в локальной сети?

ip белый, на 80 порту domain.ru висит сам кинетик

[Илья Картавенко]

3 минуты назад, Павел Черкашин сказал:

Подскажите, можно ли настроить кинетик, что бы при обращении на адрес XXX.domain.ru шла переадресация на 80 порт компьютера в локальной сети?

ip белый, на 80 порту domain.ru висит сам кинетик

То есть, вы хотите что бы при прохождении по этому адресу из интернета. вы попадали бы на вэб сервер. настроенный на одном из компьютеров сети? Я правильно понял?

[Павел Черкашин]

да, все верно.

Но не делать это простой переадресацией 80 порта

переадресация должна быть только по домену второго уровня

 

такое возможно?

[Илья Картавенко]

2 минуты назад, Павел Черкашин сказал:

да, все верно.

Но не делать это простой переадресацией 80 порта

переадресация должна быть только по домену второго уровня

 

такое возможно?

Хороший вопрос, интересный. Но, честно скажу, не знаю. Пробросить порты можно. но чтобы домен, не знаю 

[Павел Черкашин]

1 minute ago, Илья Картавенко said:

Хороший вопрос, интересный. Но, честно скажу, не знаю. Пробросить порты можно. но чтобы домен, не знаю 

поддомен

нужно такое  - https://ru.wikipedia.org/wiki/Обратный_прокси

[Илья Картавенко]

2 минуты назад, Павел Черкашин сказал:

поддомен

нужно такое  - https://ru.wikipedia.org/wiki/Обратный_прокси

Понятно, штатными средствами нет, может что в entware есть.

[Le ecureuil]

ip http proxy - именно то, что вы ищете.

[Павел Черкашин]

10 minutes ago, Le ecureuil said:

ip http proxy - именно то, что вы ищете.

подскажите как настроить?

 

[Кинетиковод]

1 час назад, Павел Черкашин сказал:

подскажите как настроить?

https://help.keenetic.com/hc/ru/articles/360000563719-Пример-удаленного-доступа-к-ресурсам-домашней-сети-через-KeenDNS

[Павел Черкашин]

6 hours ago, Кинетиковод said:

https://help.keenetic.com/hc/ru/articles/360000563719-Пример-удаленного-доступа-к-ресурсам-домашней-сети-через-KeenDNS

это через KeenDNS, а не свой домен

[AndreBA]

47 минут назад, Павел Черкашин сказал:

это через KeenDNS, а не свой домен

Эта инструкция не пойдет?

[Павел Черкашин]

Пробую:

ip http proxy dsm
allow public
domain static dsm.XXX.ru
preserve-host
upstream http 192.168.1.10 80
ip http security-level public

copy running-config startup-config

Не работает  что делаю не так?

странно, что кинетик не дает прокинуть несколько портов на один поддомен.. 

[r13]

В domain static сделайте без dsm

[Павел Черкашин]

18 minutes ago, r13 said:

В domain static сделайте без dsm

уже пробовал не помогает

 

[Павел Черкашин]

2 hours ago, Павел Черкашин said:

уже пробовал не помогает

 

ошибка в браузере ERR_CONNECTION_TIMED_OUT

в логах ничего нет

добавлю что что у регистратора любые поддомены переадресовываются на ip роутера A - *.domain.ru - XXX.XXX.XXX.XXX

[Кинетиковод]

4 часа назад, Павел Черкашин сказал:

ошибка в браузере ERR_CONNECTION_TIMED_OUT

Может ваш DDNS поддомен не переадресовывает? Проверяли?

 

 

[Павел Черкашин]

On 4/19/2019 at 5:06 PM, Кинетиковод said:

Может ваш DDNS поддомен не переадресовывает? Проверяли?

Можете подробнее, как проверить?

 

 

[Dr.ZuLuS]

А как сделать что бы проксировался по HTTPS?

У меня свой домен ******.ru у него А запись ведет на белый статический IP кинетика. Через 80 порт проксирует, а мне надо что бы на 443 порту проксировал внутренние ip на 80 порт.

[r13]

23 минуты назад, Станислав Поветьев сказал:

А как сделать что бы проксировался по HTTPS?

У меня свой домен ******.ru у него А запись ведет на белый статический IP кинетика. Через 80 порт проксирует, а мне надо что бы на 443 порту проксировал внутренние ip на 80 порт.

проксирует и через 443, только редиректа нет, надо https явно в строке браузера писать.

[Dr.ZuLuS]

14 часа назад, r13 сказал:

проксирует и через 443, только редиректа нет, надо https явно в строке браузера писать.

К сожалению нет, пробовал. Вот и спрашиваю про подводные камни.

Еще раз попробую объяснить менее криво:

Есть кинетик с белым IP за ним несколько устройств у которых на 80 портах морды.

Я хочу прикрутить поддомены https://1.****.ru что бы кинетик проксировал к хосту 192.168.1.10:80 

https://2.****.ru к хосту 192.168.1.20:80

Сейчас эта схема работает как посоветовали выше:

ip http proxy 1
allow public
domain static ******.ru
preserve-host
upstream http 192.168.1.10 80
ip http security-level public

 

ip http proxy 2
allow public
domain static ******.ru
preserve-host
upstream http 192.168.1.20 80
ip http security-level public

 

Но только по 80 порту, по 443 вечное ожидание ответа хоста и потом ошибка. Чую где то есть еще какая то команда которую надо ввести.

 

Спасибо заранее за ответ.

[r13]

6 минут назад, Станислав Поветьев сказал:

Но только по 80 порту, по 443 вечное ожидание ответа хоста и потом ошибка. Чую где то есть еще какая то команда которую надо ввести.

А сертификаты на эти домены в кинетике получены? Надо будет перепроверить как-нибудь...

[Dr.ZuLuS]

Только что, r13 сказал:

А сертификаты на эти домены в кинетике получены? Надо будет перепроверить как-нибудь...

Вот это уже вопрос. Как проверить? Скорее всего нет, т.к. ничего специально для этого не делал.

[r13]

3 минуты назад, Станислав Поветьев сказал:

Вот это уже вопрос. Как проверить? Скорее всего нет, т.к. ничего специально для этого не делал.

Тогда можно попробовать получить и проверить. В cli команда

ip http ssl acme get 2.****.ru

Посмотреть действующие

ip http ssl acme list

Изменено 11 августа, 2020 пользователем r13

[Dr.ZuLuS]

23 минуты назад, r13 сказал:

Тогда можно попробовать получить и проверить. В cli команда

ip http ssl acme get 2.****.ru

Посмотреть действующие

ip http ssl acme list

Спасибо большое за ответы. Все заработало как надо.

Вопрос только в том, будут ли автоматом мои сертификаты продлеваться как родные keendns или их лапками надо будет?

[r13]

10 минут назад, Станислав Поветьев сказал:

Спасибо большое за ответы. Все заработало как надо.

Вопрос только в том, будут ли автоматом мои сертификаты продлеваться как родные keendns или их лапками надо будет?

Да, не keendns тоже сами продлеваются, у них только минус что это не wildcard сертификаты, и на каждый субдомен нужен отдельный сертификат.

[Андрэ Палыч]

А должно-ли проксировать https на https?

Есть кинетик с белым ip и свой домен (не KeenDNS). За кинетиком есть вебсервер, который работает на 443 порту именно как https (с самоподписанным сертификатом, prtg кто знает). Делаю все как описали выше, т.е. upstream http 192.168.84.10 443, выписал сертификат на него через ip http ssl acme get но в браузере получаю стабильно только Bad gateway, хотя если внутри обратиться по внутреннему ip на https то сервер отвечает. Снаружи пробовал указывать и с http и с https. В логах кинетика при этом "[error] 32131#0: *357088 upstream prematurely closed connection while reading response header from upstream, client: 192.168.84.20, server: xxx.yyy.ru, request: "GET /favicon.ico HTTP/2.0", upstream: "http://192.168.84.10:443/favicon.ico", host: "xxx.yyy.ru", referrer: "https://xxx.yyy.ru/" Если отключить в сервере ssl, переключить его на 80 порт и скорректировать правило upstream http 192.168.84.10 80 то снаружи начинает все отлично работать. Только сам prtg ругается "соединение не безопасно, бла-бла-бла, скорее переключитесь на режим работы ssl бла-бла-бла". Пробовал хитрожопить, запускал сервер с ssl но порт указывал 80-ый и в upstream указывал 80 - один хрен Bad gateway и та же ошибка в логах роутера.

И еще почему-то не работает одна штука. Есть еще один вебсервер на этом же внутреннем ip (192.168.84.10) но на порту 8084. Делаю еще одно правило upstream http 192.168.84.10 8084 на имя aaa.yyy.ru. Открывается страничка с формой авторизации как и должна но при попытке авторизации выходит ошибка - сервер не найден. 

В верхнем левом углу видно доменное имя и порт почему-то 80

Если изнутри пойти по ip то порт в форме правильный и авторизация проходит.

Тут на ошибку не смотрите, умышленно вводил неверные данные.

[r13]

@Андрэ Палыч

В 3.5 добавили https reverse proxy, но как оно работает, я без понятия, пробуйте.

UPD a, у вас старая ультра, тогда эт овам не подойдет.

 

Изменено 16 августа, 2020 пользователем r13

[AndreBA]

1 час назад, r13 сказал:

UPD a, у вас старая ультра, тогда эт овам не подойдет.

По подписи, новая KN-1810

Скрытый текст

 

[Андрэ Палыч]

18 минут назад, r13 сказал:

UPD a, у вас старая ультра, тогда эт овам не подойдет.

Подойдет-подойдет, я и забыл что в профиле что-то там указывал, исправил.

[r13]

40 минут назад, AndreBA сказал:

По подписи, новая KN-1810

  Показать содержимое

 

На момент поста было не так 😅

[OlegOs]

В 11.08.2020 в 13:59, r13 сказал:

Да, не keendns тоже сами продлеваются, у них только минус что это не wildcard сертификаты, и на каждый субдомен нужен отдельный сертификат.

Три месяца назад через  ip http ssl acme get xxx.sytes.net выпустил сертификат на домен xxx.sytes.net.

Теперь он закончился, автоматически не обновился.

Вручную - ip http ssl acme revoke xxx.sytes.net и ip http ssl acme get xxx.sytes.net тоже не получается, висит старый просроченный.

В логе -

Acme::Client: "xxx.sytes.net" revocation deferred.

Acme::Client: retry #5 after 173s.

Acme::Client: system failed [0xcffd04fc], unable to issue certificate for "xxx.sytes.net".

C Keen сертификатами всё нормально, продлеваются автоматически !

Куда копать?