http reverse proxy

[Cha-Cha]

Расскажите как использовать? Правильно ли я понимаю, что name domain нужно будет задавать на своём dns сервере? Как-то странно это выглядит...

Изменено 14 сентября, 2016 пользователем Cha-Cha

[sonor]

Добрый день, а как обстоят дела с настройка прав доступ к опубликованным приложениям с локальной сети, но не из домашнего сегмента, например, с IPsecIKEv2 впн подключаюсь к роутеру и при попытке доступа к опубликованному в режиме "private" получаю 403 Forbidden.

Наружу публиковать не хочется, а вот доступ настроить из других сегментов нужно.

[sonor]

24 минуты назад, sonor сказал:

Добрый день, а как обстоят дела с настройка прав доступ к опубликованным приложениям с локальной сети, но не из домашнего сегмента, например, с IPsecIKEv2 впн подключаюсь к роутеру и при попытке доступа к опубликованному в режиме "private" получаю 403 Forbidden.

Наружу публиковать не хочется, а вот доступ настроить из других сегментов нужно.

Сам задал и сам сразу разобрался, трафик с ipsec не считается тунельным, а "приходит" на WAN интерфейс, поэтому проблема решилась переключением режима публикации в public с настройкой firewall, разрешить трафик на порты 80,443 с ip подсети используемой в ipsec и запретить всем остальным.

[taravasya]

Здравствуйте! У меня в локальной сети, два разных компьютера, на обоих работают два разных web сервера. Штатными настройками я могу переадресовать http/https запросы, только на один из них. В поисках решения наткнулся на эту тему, и вот не могу понять, возможно ли как-то так решить мою задачу?

 

(config)> ip http proxy domain2
(config-http-proxy)> domain static domain2.com
(config-http-proxy)> upstream http 192.168.1.2 80
(config-http-proxy)> upstream https 192.168.1.2 443
(config-http-proxy)> allow public

(config)> ip http proxy domain3
(config-http-proxy)> domain static domain3.com
(config-http-proxy)> upstream http 192.168.1.3 80
(config-http-proxy)> upstream https 192.168.1.3 443
(config-http-proxy)> allow public

Изменено 28 июня, 2024 пользователем taravasya

[Denis P]

9 часов назад, taravasya сказал:

Штатными настройками я могу переадресовать http/https запросы, только на один из них

Ничего подобного, можно хоть 10, нужны только разные домены 4го уровня.

Вот только зачем вы указываете в upstream сразу и 80 и 443 порт не совсем понятно. 

[taravasya]

В 29.06.2024 в 11:53, Denis P сказал:

Ничего подобного, можно хоть 10, нужны только разные домены 4го уровня

При наличии ещё чего-нибудь, можно ещё что-нибудь, что угодно сделать. У меня ситуация описанная выше, а не "разные домены 4го уровня".

 

В 29.06.2024 в 11:53, Denis P сказал:

Вот только зачем вы указываете в upstream сразу и 80 и 443 порт не совсем понятно. 

Потому что нужен доступ по обоим протоколам, кэп...

Изменено 19 июля, 2024 пользователем taravasya

[Denis P]

16 минут назад, taravasya сказал:

Потому что нужен доступ по обоим протоколам, кэп...

И как это должно происходить? По настроению? При обращении на https://domain2.com или https://domain3.com в куда пакеты будем слать на 443 или на 80 на адрес за проксей?

Изменено 19 июля, 2024 пользователем Denis P

[andrey.lysikov]

Привет, недавно как раз разбирался с доменами, работать должно вот так (делаем через CLI, надо чтобы обязательно был установлен KenDNS для https):

Надо чтобы была переадресация всего трафика (и веб морды тоже) автоматом с 80 на 433 порт:

(config)> ip http port 80
(config)> ip http security-level public ssl
(config)> ip http ssl enable
(config)> ip http ssl redirect

Далее добавляем свои домены:

(config)> ip http proxy subdomain1
(config-http-proxy)> domain static domain1.com
(config-http-proxy)> upstream http 192.168.1.3 80
(config-http-proxy)> allow public
(config-http-proxy)> ssl redirect
(config-http-proxy)> x-real-ip

(config)> ip http proxy subdomain2
(config-http-proxy)> domain static domain1.com
(config-http-proxy)> upstream http 192.168.1.5 80
(config-http-proxy)> allow public
(config-http-proxy)> ssl redirect
(config-http-proxy)> x-real-ip

(config)> ip http proxy subdomain1
(config-http-proxy)> domain static domain2.com
(config-http-proxy)> upstream http 192.168.1.7 80
(config-http-proxy)> allow public
(config-http-proxy)> ssl redirect
(config-http-proxy)> x-real-ip

Причем вместо 192.168.1.3/192.168.1.5/192.168.1.7 можно использовать MAC адрес устройства, тогда будет привязка не к IP а к MAC, и при изменении IP трафик пойдет на тоже устройство. Порт тут может быть как и 80 так и 443, без разницы (если у тебя там SSL, то его сертификат будет игнорироваться). Так-же оба домена могут смотреть на один адрес и порт, но там тебе тогда правильно надо настроить веб сервер. 

Теперь надо получить сертификаты, для корректной работы SSL:

(config)> ip http ssl acme get subdomain1.domain1.com
(config)> ip http ssl acme get subdomain2.domain1.com
(config)> ip http ssl acme get subdomain1.domain2.com

Между командами надо выжидать паузу, так как при ее выполнение происходит выдача сертификата (пару минут). 

Все, теперь твой трафик идет с твоих собственных доменов, напрямую через Кинетик на хост внутри твоей сети. Но тут есть пару вопросов на которые у меня пока ответа нет, почему для использования Acme надо обязательно ставить KeenDNS (ну т.е. можно было просто в системный компонент его положить или в DynDNS компонент, так было-бы правильнее). И вопрос, будет ли обновлен SSL сертификат автоматически или нет. Ну т.е. мне придется опять его выпускать когда он просрочится или Кинетик сам его перевыпустит. 

 

Изменено 20 июля, 2024 пользователем andrey.lysikov

[Denis P]

3 часа назад, andrey.lysikov сказал:

почему для использования Acme надо обязательно ставить KeenDNS

Наверное потому что получение сертификата на сторонний домен это приятный бонус, а не основная фича?

3 часа назад, andrey.lysikov сказал:

будет ли обновлен SSL сертификат автоматически или нет

Будет

Список сертификатов и их статус можно посмотреть через

ip http ssl acme list

[andrey.lysikov]

2 часа назад, Denis P сказал:

Будет

certificate: 
domain: XXX.XXX
is-ndns: no
should-be-renewed: no
is-expired: no
issue-time: 2024-07-04T11:36:49.000Z
expiration-time: 2024-10-01T11:36:49.000Z

Будем смотреть, но что-то пока уверенности нет ))

2 часа назад, Denis P сказал:

Наверное потому что получение сертификата на сторонний домен это приятный бонус, а не основная фича?

Тут наверно надо исходить из логики, почему в KeenDNS есть компонент Acme, а в DynDNS нет? Я-же может не просто так добавляю свой домен в DynDNS ) возможно стоит функционал субдоменов скопировать так-же и в компонент DynDNS, чтобы можно было и их там тоже добавлять, ну или добавить туда Acme. 

 

[Denis P]

21 час назад, andrey.lysikov сказал:

should-be-renewed: no

Это означает что сертификат не требует обновления.

Обратите внимание на подобные записи для доменов keendns, там будет всё точно так же.