Οκ μάλλον πολυσυζητημένο θέμα αλλά δεν με καλύπτουν οι λύσεις που έχω διαβάσει
Έχουμε λοιπόν έναν server σε ένα τοπικό δίκτυο που υπάρχει μια σελίδα πχ mydomain.tld
Η σελίδα είναι προσβάσιμη από το Internet με SSL πιστοποιητικό από την Lets'encrypt
Οι χρήστες του τοπικού δικτύου μπορούν να έχουν πρόσβαση σε αυτήν μόνο με την IP πχ 192.168.178.200 και όχι πληκτρολογώντας mydomain.tld πράγμα που την κάνει δύσκολα προσβάσιμη
Ναι μπορώ να κάνω μια καταχώρηση στο hosts αλλά τότε δεν ισχύει το SSL με το γνωστό αποτέλεσμα προειδοποίηση ασφάλειας κλπ και επίσης θα πρέπει να το κάνω αυτό στον καθένα υπολογιστή του δικτύου
Για να τα κάνουμε ακόμη ποιο περίπλοκα τα πράγματα αν έχουμε και subdomain (info.mydomain.tld) ή κάποια υπηρεσία σε κάποια πόρτα (mydomain.tld:8080) τότε αυτά δεν είναι προσβάσιμα με κανένα τρόπο αφού δεν μπορούν να καταχωρηθούν στο hosts
Το πρόβλημα με την πόρτα μπορεί να ξεπεραστεί με reverse proxy ορίζοντάς την να ανοίγει σε κάποιο subdomain αλλά είναι δώρον άδωρο αφού τα subdomain δεν είναι προσβάσιμα εσωτερικά
Βρήκα επίσης σε μια σελίδα της AVM μια λύση που λέει ότι απλά εξαιρείς τις σελίδες που θέλεις από το DNS rebind protection αλλά παρόλο που έβαλα τις καταχωρήσεις εκεί δεν κάνει καμιά διαφορά.
Για πείτε καμιά ιδέα
Εμφάνιση 1-5 από 5
-
28-05-22, 19:25 Πρόσβαση στη σελίδα απο τοπικό δίκτυο #1
-
28-05-22, 20:53 Απάντηση: Πρόσβαση στη σελίδα απο τοπικό δίκτυο #2
Αν το mydomain.tld έχει valid cert, μπορείς να το δεις απ' "έξω" με το domain name:
[client]--->[internet]----dsl--->[fritzbox]---port forward-->[server]
θα το δείς και από "μέσα" με domain name αν ισχύουν 2 προυποθέσεις:
α) disable/adjust dns rebind protection, και
β) το router/fritz, να υποστηρίζει nat loopback/reflection/hairpinning (το ίδιο πράγμα, διάφορα ονόματα).
Το α) γίνεται στα fritz, το β) δεν ξέρω αν παίζει/υποστηρίζεται πλέον.
Παλιά υποστήριζε loopback, μετά το είχαν απενεργοποιήσει,
κάποια στιγμή στην 7.x το ενεργοποίησαν πάλι αλλά νομίζω ότι πλέον επιτρέπει πρόσβαση *μόνο* στην wan του fritz
(ώστε να μπορείς να συνδεθείς στο fritz από "μέσα" με το url/domain που δίνει το myfritz).
Για αρχή, θα έβαζα ένα άλλο router, κάτι χωρίς ωραίο gui αλλά να με αφήνει να δω τις ρυθμίσεις σε nat/firewall,
τουλάχιστον να ξέρω αν το πρόβλημα είναι όντως στο fritz και όχι κάπου στα υπόλοιπα.
Ή ρώτα κατευθείαν στο support της AVM.
Αν αποδειχτεί ότι το πρόβλημα είναι όντως το fritz μάλλον πρέπει να αναρωτηθείς πόσο απαραίτητες σου είναι οι ευκολίες του.
Εναλλακτικά, το ιδανικό θα ήταν να δώσεις μία public ip στον server ώστε να αφαιρεθεί τελείως το nat από την εξίσωση,
αλλά κοστίζει.
Άλλη εναλλακτική θα ήταν να στήσεις έναν split dns "μέσα",
που να απαντάει στο mydomain.tld με την private ip του server,
αλλά https με το cert που δείχνει την public δεν θα παίξει ποτέ έτσι.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
28-05-22, 21:25 Απάντηση: Πρόσβαση στη σελίδα απο τοπικό δίκτυο #3
Αρα οι λύσεις είναι οι εξής
Αλλαγή router Να πάρει ... ξέρεις πόσο εθισμένοι είμαστε με τα fritz όσοι τα έχουμε
Μια public ip θα ήταν καλή λύση αλλά δεν ξέρω αν δίνει παραπάνω από 4 η Inalan και πόσο θα κοστίζει (έχω ήδη IP block)
Η τελευταία λύση δεν βολεύει αφού θα υπάρχει πρόβλημα με το SSL αλλά θα ήθελα να τη δοκιμάσω έτσι για να μαθαίνω
Πως στήνουμε split dns; Έχω στημένο το Adguard Home που έχει μια επιλογή για Private reverse DNS servers Μπορώ να χρησιμοποιήσω αυτό ή καμιά σχέση;
-
28-05-22, 22:44 Απάντηση: Πρόσβαση στη σελίδα απο τοπικό δίκτυο #4
Ναι, ξέρω, βολεύουν.
Απ'την άλλη, μου την σπάει απεριόριστα που δεν μπορώ να δω τα firewall/nat chains.
Ρώτα τους, είναι το πιο σωστό.
Τυπικά:
[clients]---Lan-->[local/split dns]---wan--->[upstream dns]
ο [split dns] είναι ένας local resolver που έχει κανόνες/λίστα που λένε (πχ) ότι
αν σε ρωτήσουν για το mydomain.tld (ή για το server01.local) απάντα με το 192.168.1.x,
για τα υπόλοιπα ρώτα τον upstream dns.
Άν είναι και dhcp (συνηθίζεται) άν έχεις στήσει το *.local domain αναλόγως,
θα απαντά και με τις local addresses των clients που ξέρει (απ'τα leases).
Αυτά για το ipv4, στο ipv6 είναι πονεμένη ιστορία, γιατί ως οικιακός πελάτης δεν έχεις static prefix,
ούτε και πολύ έλεγχο στις αποδόσεις local ip που κάνει το fritz,
οπότε τι να ρυθμίσεις στον local resolver όταν δεν ξέρεις την ipv6 του server?
Upstream μπορεί νάναι το fritz, ή οι dns του isp, ή όποιος public dns προτιμάς.
Έτσι όμως, δεν θα παίξει ποτέ το cert που θέλει να δει την public ip.
Δεν έχω ιδέα τι κάνουν μ'αυτό. Δες τα docs τους.
Μάλλον καμία σχέση όμως.
reverse dns είναι όταν κάνεις resolve ανάποδα (ip->name) και χρησιμοποιεί τα ptr records,
ή του isp η τα δικά σου αν κάνεις bgp και έχεις δική σου ζώνη.
Γενικά δεν είναι κάτι που το στήνεις στο σπίτι.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
29-05-22, 00:25 Απάντηση: Πρόσβαση στη σελίδα απο τοπικό δίκτυο #5
Μάλλον είναι περισσότερο περίπλοκο από όσο φανταζόμουν.
Πίστευα ότι θα υπάρχουν ποιο απλές λύσεις
Όπως και να 'χει ευχαριστώ για τις απαντήσεις
Bookmarks