Авторизация

Topic-icon Проброс порта и https

Больше
14 янв 2020 16:07 - 14 янв 2020 16:46 #5323 от KAKTyC
KAKTyC создал эту тему: Проброс порта и https
Добрый день, публикация делается на url на основе имени пользователя KAKTyC-blabla.vpnki.ru, а проброс порта делается msk.vpnki.ru, хочу развернуть веб сервер с работой по https. Если делать публикацией я так понимаю будет использоваться ssl сервер vpnki.ru, что как говорит FAQ не всегда будет корректно. А если делать по порту, то выписывать сертификат на msk.vpnki.ru не совсем секьюрно. Как лучше сделать?
Или сделать костыль, отрезолвить msk.vpnki.ru и на этот адрес сделать свое днс имя и на него выписать серт?
Последнее редактирование: 14 янв 2020 16:46 от KAKTyC.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
14 янв 2020 17:15 #5324 от admin
admin ответил в теме Проброс порта
Ох, это вопрос не простой и ответ на него будет длинный.
У нас есть wildcard сертификат, который покрывает все доменные имена в зоне *.vpnki.ru
То есть туда попадет и ваш кактус и msk. Однако не все дело в сертификате.
В случае развертывания web сервера можно использовать оба варианта, однако произойдет следующее:

1. В случае публикации URL ваш домен будет защищен сертификатом vpnki, но могут возникнуть сложности с контентом сайта - ведь публикация URL это не прозрачный проброс порта, а переписывание заголовков в IP пакетах. Именно это имелось ввиду в FAQ. Некоторый контент сервера может не пережить переписывание заголовков и в итоге пользователь получит полурабочую страницу веб-сервера. Этим грешат какие-нибудь китайские видеокамеры или регистраторы с криво написанными javascript. Если выбирать этот путь, то имеет смысл сначала убедиться что ваш сайт корректно будет работать с такой технологией.

2. В случае использования проброса порта ситуация будет другой. Ваши пользователи должны будут подключаться к адресу msk.vpnki.ru : <номер порта> , но будут ли они это делать? Обратите внимание - не https, а именно http. https там быть не может по причине использования другой технологии в отличии от п.1. В п.1 происходит терминация пользовательского трафика на сервере и поэтому можно разгрузить ssl, а в истории с пробросом tcp поток пробрасывается почти прозрачно до пользовательского устройства и серверу ничего не знает о потоке TCP. Там может быть ваш https, а может быть RDP, ssh и другие протоколы. Поэтому серверный сертификат тут не поможет и поэтому снаружи доступ возможен по http.
В этой истории есть еще одна проблема - некорректная работа браузеров, но об этом не сейчас.
В общем, этот вариант вам не подходит так как нет https

3. Вариант с публикацией домена 2-го уровня. Допустим у вас есть доменное имя (платное или бесплатное - не важно). Вы можете получить на него сертификат. Далее, используя услугу Публикация домена 2-го уровня мы можем разместить ваш сертификат на сервере VPNKI. В этом случае трафик от пользователя до сервера VPNKI будет защищен вашим сертификатом, а трафик внутри вашего VPN туннеля уже не имеет особенного смысла защищать сертификатами.
Этот вариант вполне работает, но по технологии он такой же как и п.1. То есть сначала нужно убедиться, что сам сайт корректно работает с публикацией URL

4. Четвертый вопрос это файл robots.txt вашего сайта. Если вы хотите, чтобы ваш сайт находился в поисковых системах, то необходимо, чтобы этот файл был доступен для поисковых роботов. Сейчас, по умолчанию, ресурсы, опубликованные через Публикацию URL не обнаруживаются поисковыми системами и доступ к robots.txt снаужи закрыт. Это сделано специально, так как многие системы умных домов далеки от безопасных продуктов и через поисковые системы хакеры вполне быстро узнают о наличии таких ресурсов.
Однако, если вы захотите, чтобы ваш веб-сервер находился поисковыми роботами, то сообщите нам об этом и дадим доступ к robots.txt
Этот пункт, конечно, относится к вариантам Публикации URL и Публикации домена 2-го уровня.
В случае проброса порта файл robots.txt будет доступен для поисковых роботов.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
15 янв 2020 08:48 #5332 от KAKTyC
KAKTyC ответил в теме Проброс порта
Вопрос как раз и заключается в умном доме и публикации его для управления через Яндекс:

По требованиям платформы умного дома Яндекс весь обмен трафиком между их облаком и MajorDoMo должен идти в зашифрованном виде по протоколу HTTPS, что обеспечивается либо установкой SSL-сертификата на веб-сервер с MajorDoMo, либо услугами сервисов удаленного доступа


MajorDoMo и Яндекс Алиса. Публикация вебхуков.

Добавил ссылку на источник, может так станет понятней, что хочу получить, и как это можно сделать с помощью вашего сервиса.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
15 янв 2020 10:11 - 15 янв 2020 10:12 #5333 от admin
admin ответил в теме Проброс порта
Посмотрел. Я не вижу причины, по которой вебхук не будет работать при использовании Публикации URL.
Сертификат на *.vpnki.ru есть. Чтобы вебхук сработал нужно, чтобы Яндекс имел доступ по https к нужным файлам на машине с Мажордомо. Но это лишь вопрос размещения этих файлов в Мажордомо. С моей точки зрения все должно работать.

если все заработало - нажмите на баннеры!
Последнее редактирование: 15 янв 2020 10:12 от admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
15 янв 2020 10:26 #5334 от KAKTyC
KAKTyC ответил в теме Проброс порта
Ок, вечерком попробую. Меня смущал в публикации переход yandex - https - vpnki - http - mdm
И тогда следующий вопрос по этой же теме, при пробросе порта я могу ограничить список подсетей с которых можно обращаться, публикация такого функционала не имеет. На роутр уже прилетает обращение со шлюза vpnki соответственно там уже не отфильтруешь. Какие способы еще могут быть, чтобы отфильтровать только доступ с серверов яндекса. Не очень хочется выставлять его полностью в инет.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
15 янв 2020 11:05 #5336 от admin
admin ответил в теме Проброс порта

KAKTyC пишет: Ок, вечерком попробую. Меня смущал в публикации переход yandex - https - vpnki - http - mdm

В этом проблемы не будет. В таком варианте на Мажордомо сертификат устанавливать не требуется.

KAKTyC пишет: И тогда следующий вопрос по этой же теме, при пробросе порта я могу ограничить список подсетей с которых можно обращаться, публикация такого функционала не имеет. На роутр уже прилетает обращение со шлюза vpnki соответственно там уже не отфильтруешь. Какие способы еще могут быть, чтобы отфильтровать только доступ с серверов яндекса. Не очень хочется выставлять его полностью в инет.


Да, пока такого ограничения в Публикации URL нет, но теоретически это возможно. К сожалению, Мажордомо ломают достаточно часто и успешно, поэтому есть несколько путей.
0. Лучше Мажордомо так не выставлять, а пользоваться доступом к нему через VPN (из другого туннеля)
1. Если же выставлять, то я подумаю насчет фильтрации на сервере по аналогии с пробросом порта, но это будет не быстро
2. Вы можете придумать имя ресурса типа kaktyc-lkjfljs;kdfjdahfiuwncf который будет сложно найти и его скормить Алисе (а самому пользоваться VPN)

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
15 янв 2020 11:12 #5337 от KAKTyC
KAKTyC ответил в теме Проброс порта
0. Для себя да, так и буду пользоваться.
1. Очень бы хотелось, понимаю что единичная хотелка находится всегда последним пунктом в Wishlist развития проекта, но вдруг все же)
2. Решение 50/50, но будем думать.

Спасибо за быстрые и емкие ответы.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
27 янв 2020 22:24 - 27 янв 2020 22:35 #5384 от admin
admin ответил в теме Проброс порта

KAKTyC пишет: 0.
1. Очень бы хотелось, понимаю что единичная хотелка находится всегда последним пунктом в Wishlist развития проекта, но вдруг все же)


Вдруг все же.
Новый модуль выложен в preview, зайдите в личный кабинет и далее в Публикцию URL
Попробуйте, вроде немного работает.
Алиса Яндексовна стучалась ко мне с адресов 77.88.16.0 / 255.255.252.0, но думаю, что у нее и другие щупальца есть.

если все заработало - нажмите на баннеры!
Последнее редактирование: 27 янв 2020 22:35 от admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
28 янв 2020 13:18 #5386 от KAKTyC
KAKTyC ответил в теме Проброс порта
А почему доступны три поля для публикации урл, два из них пустые (предполагаю что не хватает подписки), но адрес проставляется на все три?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
28 янв 2020 13:40 #5387 от admin
admin ответил в теме Проброс порта
Всего показываются три поля. Первое активно, а два других нет.
Если бы были приобретены дополнительные записи, то эти поля стали бы активны.
Дублирование адреса и порта это была ошибка - исправил.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
28 янв 2020 13:44 #5388 от KAKTyC
KAKTyC ответил в теме Проброс порта
И правильно ли я понял, что ограничение работает только для одной подсети, раз подсеть и маска разнесены, т.е перечисление нельзя сделать. Вида 8.8.8.8/32, 77.22.3.0/24

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
28 янв 2020 13:48 #5389 от admin
admin ответил в теме Проброс порта

KAKTyC пишет: И правильно ли я понял, что ограничение работает только для одной подсети, раз подсеть и маска разнесены, т.е перечисление нельзя сделать. Вида 8.8.8.8/32, 77.22.3.0/24

Пока да. Судя по большинству наших пользователей, разные формы записи проводят их в замешательство и ошибок в варианте с перечислением не избежать.
Поэтому пока решили ограничиться одной строкой на один URL.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
28 янв 2020 13:51 #5390 от KAKTyC
KAKTyC ответил в теме Проброс порта
Ну будем ждать, учитывая как быстро решили эту хотелку, перечисление подсетей не за горами, готов даже быть бетатестером.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.