Авторизация

Проброс порта и https

  • KAKTyC
  • Автор темы
  • Не в сети
  • Пользователь заблокирован
  • Пользователь заблокирован
Подробнее
4 года 2 мес. назад - 4 года 2 мес. назад #1 от KAKTyC
KAKTyC создал тему: Проброс порта и https
Добрый день, публикация делается на url на основе имени пользователя KAKTyC-blabla.vpnki.ru, а проброс порта делается msk.vpnki.ru, хочу развернуть веб сервер с работой по https. Если делать публикацией я так понимаю будет использоваться ssl сервер vpnki.ru, что как говорит FAQ не всегда будет корректно. А если делать по порту, то выписывать сертификат на msk.vpnki.ru не совсем секьюрно. Как лучше сделать?
Или сделать костыль, отрезолвить msk.vpnki.ru и на этот адрес сделать свое днс имя и на него выписать серт?
Последнее редактирование: 4 года 2 мес. назад пользователем KAKTyC.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
4 года 2 мес. назад #2 от admin
admin ответил в теме Проброс порта
Ох, это вопрос не простой и ответ на него будет длинный.
У нас есть wildcard сертификат, который покрывает все доменные имена в зоне *.vpnki.ru
То есть туда попадет и ваш кактус и msk. Однако не все дело в сертификате.
В случае развертывания web сервера можно использовать оба варианта, однако произойдет следующее:

1. В случае публикации URL ваш домен будет защищен сертификатом vpnki, но могут возникнуть сложности с контентом сайта - ведь публикация URL это не прозрачный проброс порта, а переписывание заголовков в IP пакетах. Именно это имелось ввиду в FAQ. Некоторый контент сервера может не пережить переписывание заголовков и в итоге пользователь получит полурабочую страницу веб-сервера. Этим грешат какие-нибудь китайские видеокамеры или регистраторы с криво написанными javascript. Если выбирать этот путь, то имеет смысл сначала убедиться что ваш сайт корректно будет работать с такой технологией.

2. В случае использования проброса порта ситуация будет другой. Ваши пользователи должны будут подключаться к адресу msk.vpnki.ru: <номер порта> , но будут ли они это делать? Обратите внимание - не https, а именно http. https там быть не может по причине использования другой технологии в отличии от п.1. В п.1 происходит терминация пользовательского трафика на сервере и поэтому можно разгрузить ssl, а в истории с пробросом tcp поток пробрасывается почти прозрачно до пользовательского устройства и серверу ничего не знает о потоке TCP. Там может быть ваш https, а может быть RDP, ssh и другие протоколы. Поэтому серверный сертификат тут не поможет и поэтому снаружи доступ возможен по http.
В этой истории есть еще одна проблема - некорректная работа браузеров, но об этом не сейчас.
В общем, этот вариант вам не подходит так как нет https

3. Вариант с публикацией домена 2-го уровня. Допустим у вас есть доменное имя (платное или бесплатное - не важно). Вы можете получить на него сертификат. Далее, используя услугу Публикация домена 2-го уровня мы можем разместить ваш сертификат на сервере VPNKI. В этом случае трафик от пользователя до сервера VPNKI будет защищен вашим сертификатом, а трафик внутри вашего VPN туннеля уже не имеет особенного смысла защищать сертификатами.
Этот вариант вполне работает, но по технологии он такой же как и п.1. То есть сначала нужно убедиться, что сам сайт корректно работает с публикацией URL

4. Четвертый вопрос это файл robots.txt вашего сайта. Если вы хотите, чтобы ваш сайт находился в поисковых системах, то необходимо, чтобы этот файл был доступен для поисковых роботов. Сейчас, по умолчанию, ресурсы, опубликованные через Публикацию URL не обнаруживаются поисковыми системами и доступ к robots.txt снаужи закрыт. Это сделано специально, так как многие системы умных домов далеки от безопасных продуктов и через поисковые системы хакеры вполне быстро узнают о наличии таких ресурсов.
Однако, если вы захотите, чтобы ваш веб-сервер находился поисковыми роботами, то сообщите нам об этом и дадим доступ к robots.txt
Этот пункт, конечно, относится к вариантам Публикации URL и Публикации домена 2-го уровня.
В случае проброса порта файл robots.txt будет доступен для поисковых роботов.

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • KAKTyC
  • Автор темы
  • Не в сети
  • Пользователь заблокирован
  • Пользователь заблокирован
Подробнее
4 года 2 мес. назад #3 от KAKTyC
KAKTyC ответил в теме Проброс порта
Вопрос как раз и заключается в умном доме и публикации его для управления через Яндекс:

По требованиям платформы умного дома Яндекс весь обмен трафиком между их облаком и MajorDoMo должен идти в зашифрованном виде по протоколу HTTPS, что обеспечивается либо установкой SSL-сертификата на веб-сервер с MajorDoMo, либо услугами сервисов удаленного доступа


MajorDoMo и Яндекс Алиса. Публикация вебхуков.

Добавил ссылку на источник, может так станет понятней, что хочу получить, и как это можно сделать с помощью вашего сервиса.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
4 года 2 мес. назад - 4 года 2 мес. назад #4 от admin
admin ответил в теме Проброс порта
Посмотрел. Я не вижу причины, по которой вебхук не будет работать при использовании Публикации URL.
Сертификат на *.vpnki.ru есть. Чтобы вебхук сработал нужно, чтобы Яндекс имел доступ по https к нужным файлам на машине с Мажордомо. Но это лишь вопрос размещения этих файлов в Мажордомо. С моей точки зрения все должно работать.

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530
Последнее редактирование: 4 года 2 мес. назад пользователем admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • KAKTyC
  • Автор темы
  • Не в сети
  • Пользователь заблокирован
  • Пользователь заблокирован
Подробнее
4 года 2 мес. назад #5 от KAKTyC
KAKTyC ответил в теме Проброс порта
Ок, вечерком попробую. Меня смущал в публикации переход yandex - https - vpnki - http - mdm
И тогда следующий вопрос по этой же теме, при пробросе порта я могу ограничить список подсетей с которых можно обращаться, публикация такого функционала не имеет. На роутр уже прилетает обращение со шлюза vpnki соответственно там уже не отфильтруешь. Какие способы еще могут быть, чтобы отфильтровать только доступ с серверов яндекса. Не очень хочется выставлять его полностью в инет.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
4 года 2 мес. назад #6 от admin
admin ответил в теме Проброс порта

KAKTyC пишет: Ок, вечерком попробую. Меня смущал в публикации переход yandex - https - vpnki - http - mdm

В этом проблемы не будет. В таком варианте на Мажордомо сертификат устанавливать не требуется.

KAKTyC пишет: И тогда следующий вопрос по этой же теме, при пробросе порта я могу ограничить список подсетей с которых можно обращаться, публикация такого функционала не имеет. На роутр уже прилетает обращение со шлюза vpnki соответственно там уже не отфильтруешь. Какие способы еще могут быть, чтобы отфильтровать только доступ с серверов яндекса. Не очень хочется выставлять его полностью в инет.


Да, пока такого ограничения в Публикации URL нет, но теоретически это возможно. К сожалению, Мажордомо ломают достаточно часто и успешно, поэтому есть несколько путей.
0. Лучше Мажордомо так не выставлять, а пользоваться доступом к нему через VPN (из другого туннеля)
1. Если же выставлять, то я подумаю насчет фильтрации на сервере по аналогии с пробросом порта, но это будет не быстро
2. Вы можете придумать имя ресурса типа kaktyc-lkjfljs;kdfjdahfiuwncf который будет сложно найти и его скормить Алисе (а самому пользоваться VPN)

если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Время создания страницы: 0.121 секунд