pristup k lokalnym sluzbam cez domenu

Všetko o sieťach, nastaveniach, problémoch ...
faugusztin
Moderátor
Moderátor
Príspevky: 15044
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa faugusztin »

Na tom tvojom internom proxy by si mal mat nastaveny forwarding zvysnych domen.

V pripade dnsmasq by to bolo nastavenie:

Kód: Vybrať všetko

#dont use hosts nameservers
no-resolv

#use cloudflare as default nameservers, prefer 1^4
server=1.0.0.1
server=1.1.1.1
strict-order

# domena1 ipv4 a ipv6
address=/domena1.example.tld/192.168.0.101
address=/domena1.example.tld/2a02:ip1:v:6
# domena2 ipv4 a ipv6
address=/domena2.example.tld/192.168.0.102
address=/domena2.example.tld/2a02:ip2:v:6
To by robilo to, ze ak zadas domena1.example.tld (alebo domena2), tak ti to hodi IPv4 alebo IPv6 internu adresu, ale ak zada cokolvekine.example.tld alebo iny domenu, tak request forwardne na 1.0.0.1 alebo 1.1.1.1.
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa molnart »

ok, tomu rozumiem. asi nahodim dnsmasq do dockeru, alebo vyhodim mikrotik a dam tam tomato kde dnsmasq bezi uz nativne. aj ked podla mna je to jedno a to iste ako static dns na mikrotiku.

ale s tym vystrcenim von je to ako som pisal, hej? ak nginx bude vystrceny na wan tak vysrtci aj vsetky reverse proxies?
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
faugusztin
Moderátor
Moderátor
Príspevky: 15044
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa faugusztin »

Tvoj problem je, ze ty vystrcis cely interny server von, zaroven mas celu domeny smerovanu na tvoj router, a potom sa cudujes ze 'interne' domeny su viditelne vonku, ked ich zvonku resolvujes (asi wildcard zapisom) a na nginx uz nemas ako rozlisit WAN a LAN.

Ak by si mal 2 rozne interfaces, tak v serveroch v prikaze listen mozes pouzivat aj IP adresy. Teda namiesto:

Kód: Vybrať všetko

listen 443 ssl;
Mozes mat aj toto (samozrejme to iste aj pre IPv6; 192.168.0.5 je IP adresa tvojho servra):

Kód: Vybrať všetko

listen 192.168.0.5:443 ssl;
Lenze ak mas svoj LAN server vypublikovany 1:1 a zaroven zvonku resolvujes dane DNS, tak ti zvonku samozrejme vzdy pojdu.
Používateľov profilový obrázok
Hexaris
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 781
Dátum registrácie: Št 11. Júl, 2019, 19:35
Bydlisko: Nekde na zahori

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa Hexaris »

Ved mu nic nebrani spravit dalsie rozhranie eth0:1 (zalezi od konfiguracie) a moze mat rozsah pre vonkjasie pouzitie pre NAT. Sa mi zda, ze si komplikujete zivot :)
Your value does not decrease because of someone's inability to see your worth.
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa molnart »

akoze stale polovici nerozumiem co ste mi tu popisali, ale minule ma z nicoho nic pri srani osvietilo preco to nefugnuje:
- mam nastavene v nginx reverse proxies pre jednotlive sity, aj aliasy v lokalnom dns resolveri na vnutorne domeny. externy resolving som dal do riti.
- takze ak napr. zadam plex.domena.tld tak ma to sice dns resolver presmeruje na adresu 192.168.5.8, ale tam mi bezi ina nginx instancia openmediavaultu a ten teda ziadne reverse proxy nastavene nema. moje nginx s reverse proxy bezi v dockeri na 192.168.5.8:10443 a 1080, ktore su potom na WAN prenatovane ako 443 a 80 (aby web aj nieco ukazal) takze listen 443 ssl; nema ziadny zmysel, lebo 192.168.50.8:443 neexistuje, aj keby existoval nema nastavene reverse proxy

ono som dost vela laboroval ako prevadzkovat docker, chvilu som mal takmer vsetko cez macvlan na smostatnych ip adresach az kym som to vsestko prehodil na bridge. takze asi bude musiet OMV administracne rozhranie prestahovat na nejaky iny volny port a 443 a 80 nastavit pre nginx webserver s reverse proxy.

raz sa k tomu dostanem-
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
steel
Používateľ
Používateľ
Príspevky: 404
Dátum registrácie: Pi 16. Sep, 2005, 20:00
Bydlisko: Bratislava

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa steel »

Trosku ozivim tuto temu pretoze rozmyslam nad niecim podobnym.

Mam kopec containerov, ktore mi sice idu z lokalnej siete ale nefunguju z vonku. Na zaciatok musim povedat, ze 90% veci, co ste si tu popisali su aktualne pre mna "chineese".

Sluzby na vnutnornej sieti by som teoreticky vedel managovat cez nejaku dynamic dns sluzbu (kedze nemam staticku IP) avsak potom by som musel forwardovat aj porty na routeri a to je dalsie bezpecnostne riziko. A navyse ked som v praci tak tam nam funguje iba pristup na port 80 takze cokolvek na inom porte ma smolu. Pozrel som si par videi na youtube od par ludi a zacinam +/- chapat co budem potrebovat ale je tam kopec veci, ktore nespominaju a nejako predpokladaju, ze ludia vedia.

Co by som potreboval:
  • Domenu => Ako viem ziskat domenu a ako ju viem potom namapovat na moju dynamicku IP?
  • Subdomeny => Tak ako si pisal, aj ja by som chcel mat rozne sluzby na roznych subdomenach. Ked budem mat domenu, viem toto nejako konfigurovat? Videl som nejake video, kde chlapik spominal free plan na Cloudflare a tam to vyzeralo, ze to ide + tam mal v tom free plane aj nejake dalsie veci ohladom security (ohranu pred DDOS, IP hide/change/proxy cez cloudflare).
  • SSL certifikat => Opat chlapik spominal Cloudflare, ktory vedel poskytovat SSL certifikaty zadarmo ale podla toho co som pozeral, to uz asi neni vo free plane. Viem ho ziskat nejako inak (idealne zadarmo)?
  • Reverse proxy cez NGINX => Toto by malo byt iba o konfiguracii, kedy sa pripojim cez domenu / subdomenu na porte 80 alebo 443 a reverse proxy to vie potom namapovat na lokalnu IP a port. Cize nemusel by som otvarat a forwardovat milion portov na routeri.
Este som videl jedno video, kde spominali duckdns. V podstate si clovek spravi free duckdns account (5 subdomen na duckdns) a na svojom stroji si nahodi container, ktory komunikuje s duckdns. Ked sa zmeni IP duckdns automaticky vie, na aku IP ma smerovat komunikaciu. Problem je tych 5 subdomen, lebo ja tych appiek mam urcite viacej ako 5.

Nevedeli by ste mi hodit nejaky tipy pripadne odkazy?

Dakujem.
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa molnart »

steel napísal: Št 18. Feb, 2021, 15:07 Domenu => Ako viem ziskat domenu a ako ju viem potom namapovat na moju dynamicku IP?
mas 4 moznosti:
1) zakupit od operatora fixnu IP adresu
2) pouzit niektoru z dynamic DNS sluzieb a najst sposob ako to periodicky updateovat. napr. https://freedns.afraid.org/ a staci jednoduchy cron hned z prvej stranky na periodicky upgrade. ale myslim ze subdomeny budu problem. alebo mozes skusit ten duckdns ako popisujes.
3) normalne si kupis domenu, nastavis DNS servere na cloudflare a potom najdes sposob ako tvoju aktualnu ip adresu posielat do cloudflare cez ich api https://support.cloudflare.com/hc/en-us ... mmatically mne to podporuje priamo router, takze stacilo tam nastavit api key a uz to islo
4) kupit si VPSku, pripojit sa na nu
steel napísal: Št 18. Feb, 2021, 15:07Subdomeny
normalne na hostingu tvojej domeny na dns zaznamoch nastavis CNAME na * a tym padom mozes pouzivat akekolvek subdomeny. samozrejme tvoj lokalny webserver musi mat tie subdomeny nakonfigurane a smerovat ich na prislusne interne porty. odporucam to riesit cez https://hub.docker.com/r/linuxserver/swag davaj si ale pozor aby vsetko co vystrcis von bolo chranene heslom. pripadne by sa to mozno dalo riesit cez Traefik, Autheliu, keycloak alebo nieco podobne. ked raz budem mat viac casu sa do toho pustim.
aktualne subdomeny pouzivam len interne a ked sa chcem dostat zvonka doma tak cez VPN alebo SSH tunnel. ale samozrejme nejsom niekde kde by to bolo blokovane.
steel napísal: Št 18. Feb, 2021, 15:07SSL certifikat
ja vo svojom free konte vidim nejake SSL veci, ale nikdy som to neskusal. certifikaty aj na subdomeny mozes pohodlno riesit cez letsencrypt a vyssie spominany swag
steel napísal: Št 18. Feb, 2021, 15:07 Reverse proxy cez NGINX => Toto by malo byt iba o konfiguracii, kedy sa pripojim cez domenu / subdomenu na porte 80 alebo 443 a reverse proxy to vie potom namapovat na lokalnu IP a port. Cize nemusel by som otvarat a forwardovat milion portov na routeri.
presne tak. opat swag je riesenim.

tie sluzby nemusis mat nevyhnutne na subdomene, napr. namiesto plex.domena.sk mozes mat aj domena.sk/plex
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
steel
Používateľ
Používateľ
Príspevky: 404
Dátum registrácie: Pi 16. Sep, 2005, 20:00
Bydlisko: Bratislava

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa steel »

K tej 3ke. Ja mam bohuzial dost stary router, ktory podporuje iba jedneho providera. Co ma za router keby som sa pozeral po niecom novsom? :)
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: pristup k lokalnym sluzbam cez domenu

Príspevok od používateľa molnart »

z obchodu pravdepodobne ziadny. ale trvalo asi 5 sekund vygooglit riesenie https://hub.docker.com/r/oznu/cloudflare-ddns/
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)

Návrat na "Siete"