Sælir / Sælar
Var að pæla hvort þið væruð með uppástungu er varðar uppsetningu á nginx reverse proxy á heimanetinu sem ég nota í ákveðið Home lab.
Er að nota ákveðið tól til að einfalda uppsetninguna á Nginx config skránum: https://nginxconfig.io
Mun uploada skránum með winscp inná nginx serverinn þegar ég hef ákveðið uppsetningu.
Netkerfið er mjög einfalt eins og staðan er núna pfsense router með
Wan interface: xxx.xxx.xxx.xxx public ip tala
Lan interface: 192.168.1.1/24
nginx server:192.168.1.50/24
Var að pæla hvernig þið mynduð skilgreina DMZ net til að planta nginx reverse proxy netþjóninum á milli netþjóna og internetsins svo að eitt domain sem ég nota og stýri í gegnum Cloudflare public DNS redirecti öllum fyrirspurnum á netinu á rétta netþjóna.
Edit: hafði hugsað mér að nota t.d netþjóna á innra netinu sem væri aðgengilegt á internetinu með eftirfarandi subdomainum gitlab.example.com - seafile.example.com - citrix.example.com etc..
Smá sketch sem ég henti upp í Visio í flýti hvernig umhverfið lítur út eins og staðan er núna
nginx reverse proxy - Home lab
-
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
Svona er ég að gera þetta:
Port forward 80 og 443 frá Edgerouter (Pfsense) inn á nginx þjón og bý síðan til eins marga virtual síður og ég þarf, til að dreifa á aðrar Virtual vélar, læt fylgja sýnishorn.
server {
listen 80;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name gitlab.example.com;
ssl_certificate /etc/letsencrypt/live/gitlab.example.com/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/gitlab.example.com/privkey.pem;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl on;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1.2;
ssl_verify_depth 3;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!ECDH:!CAMELLIA:!SEED;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:TLS:2m;
ssl_stapling on;
resolver 1.1.1.1 1.0.0.1 valid=300s;
resolver_timeout 10s;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/gitlab.example.com/fullchain.pem;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
access_log /var/log/nginx/gitlab.example.com.access.log;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass https://192.168.1.40:443/;
proxy_read_timeout 90;
}
}
Port forward 80 og 443 frá Edgerouter (Pfsense) inn á nginx þjón og bý síðan til eins marga virtual síður og ég þarf, til að dreifa á aðrar Virtual vélar, læt fylgja sýnishorn.
server {
listen 80;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name gitlab.example.com;
ssl_certificate /etc/letsencrypt/live/gitlab.example.com/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/gitlab.example.com/privkey.pem;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl on;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1.2;
ssl_verify_depth 3;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!ECDH:!CAMELLIA:!SEED;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:TLS:2m;
ssl_stapling on;
resolver 1.1.1.1 1.0.0.1 valid=300s;
resolver_timeout 10s;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/gitlab.example.com/fullchain.pem;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
access_log /var/log/nginx/gitlab.example.com.access.log;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass https://192.168.1.40:443/;
proxy_read_timeout 90;
}
}
-
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
Ok, takk fyrir svarið. gott að vita.
Var sjálfur kominn með þetta og myndi afrita fyrir hvert einasta subdomain
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name gitlab.example.com;
# reverse proxy
location / {
proxy_pass http://GITLABSERVER:GITLABPORT;
}
}
Annars var ég einnig að spá hvort það væri vit í að hafa eitthvað millinet t.d annan Pfsense fyrir aftan aðal Pfsenseninn (virtual appliance og route-a í gegnum hann) fyrir DMZ eða búa til Vlan á pfsense routernum.
edit:ekki að það skipti öllu máli að skipta upp netinu, er með aðal heimanetið tengt í annað port á Ljósleiðaraboxinu sem er aðgreint frá þessu neti. Bara forvitinn ef maður hefði áhuga á að hafa client vél/ar tengjast inná sama net hvað þyki hentugt/öruggt/öruggara í þeim efnum. Í dag er ég einfaldlega að vpn tengjast frá heimanetinu inná þetta net.
Var sjálfur kominn með þetta og myndi afrita fyrir hvert einasta subdomain
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name gitlab.example.com;
# reverse proxy
location / {
proxy_pass http://GITLABSERVER:GITLABPORT;
}
}
Annars var ég einnig að spá hvort það væri vit í að hafa eitthvað millinet t.d annan Pfsense fyrir aftan aðal Pfsenseninn (virtual appliance og route-a í gegnum hann) fyrir DMZ eða búa til Vlan á pfsense routernum.
edit:ekki að það skipti öllu máli að skipta upp netinu, er með aðal heimanetið tengt í annað port á Ljósleiðaraboxinu sem er aðgreint frá þessu neti. Bara forvitinn ef maður hefði áhuga á að hafa client vél/ar tengjast inná sama net hvað þyki hentugt/öruggt/öruggara í þeim efnum. Í dag er ég einfaldlega að vpn tengjast frá heimanetinu inná þetta net.
Just do IT
√
√
-
- Ofur-Nörd
- Póstar: 274
- Skráði sig: Fim 28. Apr 2016 20:17
- Reputation: 70
- Staða: Ótengdur
-
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
asgeirbjarnason skrifaði:Hvað ertu með mörg port á pfSenseinum?
Sæll
Ég er með 4 port, 2 eru nú þegar í notkun. Lan port á pfsense router tengist við 5 porta netgear gigabit switch í stofunni.
Á eftir að bæta við Raspberry pi cluster inní þetta setup og stærri switch og ganga almennilega frá skápnum og þess háttar.
vill helst bara setja þetta upp og þurfa ekki mikið að pæla í netmálum og skipulagi í kringum það ef maður getur gert þetta rétt frá upphafi.
Afrita síðan allar base stillingar ef eitthvað klúðrast og get restore-að frá því configgi.
Just do IT
√
√
-
- Ofur-Nörd
- Póstar: 274
- Skráði sig: Fim 28. Apr 2016 20:17
- Reputation: 70
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
Ef Netgear svissinn er bara 5 porta þá er hann líklega ekki með VLAN stuðningi, en ef þú ert með aðgang að VLAN svissi þá myndi ég hafa þetta svona:
Ef þú ert ekki með VLAN sviss þá hefði verið fínt að vera með 5 port, og þá hefðirðu getað sett þetta upp svona:
Sem sagt, í stað þess að vera með tvo routera á sitt hvoru portinu á Telsey boxinu myndi ég setja upp tvö port á pfSenseinum sem þjóna sitthvoru hlutverkinu. Getur þá sett upp routing reglur og eldveggjareglur milli innri netana þriggja beint á pfSensinum, án þess að það sé NAT á þeirri traffík. DMZ netið yrði þá „við hliðina“ á hinum netunum tveimur en ekki „fyrir framan“ serveranetið. Traffíkin milli allra subnetana færi þá síðan alltaf yfir pfSenseinn svo þú gætir sett eins niðurnjörvaðar reglur og þú vilt fyrir DMZ traffíkina.
Ef þú ert ekki með VLAN sviss þá hefði verið fínt að vera með 5 port, og þá hefðirðu getað sett þetta upp svona:
Sem sagt, í stað þess að vera með tvo routera á sitt hvoru portinu á Telsey boxinu myndi ég setja upp tvö port á pfSenseinum sem þjóna sitthvoru hlutverkinu. Getur þá sett upp routing reglur og eldveggjareglur milli innri netana þriggja beint á pfSensinum, án þess að það sé NAT á þeirri traffík. DMZ netið yrði þá „við hliðina“ á hinum netunum tveimur en ekki „fyrir framan“ serveranetið. Traffíkin milli allra subnetana færi þá síðan alltaf yfir pfSenseinn svo þú gætir sett eins niðurnjörvaðar reglur og þú vilt fyrir DMZ traffíkina.
-
- Vélbúnaðarníðingur
- Póstar: 396
- Skráði sig: Þri 09. Maí 2006 01:16
- Reputation: 18
- Staðsetning: /usr/local
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
@hjaltiatla ..
Þú ert greinilega ekki í sambúð með kvenmanni
Enginn kvenmaður myndi heimila 4 tölvur í stofunni
Þú ert greinilega ekki í sambúð með kvenmanni
Enginn kvenmaður myndi heimila 4 tölvur í stofunni
-
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
Blues- skrifaði:@hjaltiatla ..
Þú ert greinilega ekki í sambúð með kvenmanni
Enginn kvenmaður myndi heimila 4 tölvur í stofunni
Haha, þetta er allt í lagi er að fara að setja 2X40cm ikea hurðar á skápinn.
Málið dautt.
Just do IT
√
√
-
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
asgeirbjarnason skrifaði:Ef Netgear svissinn er bara 5 porta þá er hann líklega ekki með VLAN stuðningi, en ef þú ert með aðgang að VLAN svissi þá myndi ég hafa þetta svona:
vlan uppsetning.png
Ef þú ert ekki með VLAN sviss þá hefði verið fínt að vera með 5 port, og þá hefðirðu getað sett þetta upp svona:
ekki vlan uppsetning.png
Sem sagt, í stað þess að vera með tvo routera á sitt hvoru portinu á Telsey boxinu myndi ég setja upp tvö port á pfSenseinum sem þjóna sitthvoru hlutverkinu. Getur þá sett upp routing reglur og eldveggjareglur milli innri netana þriggja beint á pfSensinum, án þess að það sé NAT á þeirri traffík. DMZ netið yrði þá „við hliðina“ á hinum netunum tveimur en ekki „fyrir framan“ serveranetið. Traffíkin milli allra subnetana færi þá síðan alltaf yfir pfSenseinn svo þú gætir sett eins niðurnjörvaðar reglur og þú vilt fyrir DMZ traffíkina.
Snilld, takk fyrir þetta Ásgeir.
Er að fara að skoða að kaupa mér þennan switch, hann er frekar hljóðlátur og með vlan stuðningi (þarf að lækka antec kassana aðeins til að geta skrúfað hann inní ikea skápinn. Reikna með að það verði þó ekki fyrr en um næstu mánaðarmót.
https://dl.ubnt.com/datasheets/edgemax/EdgeSwitch_Lite_DS.pdf
Þessi 5 porta sem ég á nú þegar er GS105E-100PESPROSAFE switch og er með vlan stuðning.
Just do IT
√
√
-
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
@Blues
Væri alveg til í að sjá annan þráð frá þér álíka og "Heima serverinn / fullorðins uppsetning" við tækifæri.
Það var alveg djúsí lesning á sínum tíma. Þ.e ef þú ert búinn að vera föndra eitthvað nýlega.
þ.e ef þú mátt það í dag
Væri alveg til í að sjá annan þráð frá þér álíka og "Heima serverinn / fullorðins uppsetning" við tækifæri.
Það var alveg djúsí lesning á sínum tíma. Þ.e ef þú ert búinn að vera föndra eitthvað nýlega.
þ.e ef þú mátt það í dag
Just do IT
√
√
-
- Vélbúnaðarníðingur
- Póstar: 396
- Skráði sig: Þri 09. Maí 2006 01:16
- Reputation: 18
- Staðsetning: /usr/local
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
@Hjalti
Já takk fyrir það.
Eins og er þá er ég bara á fullu í þessiri home -automation vitleysu.
Já takk fyrir það.
Eins og er þá er ég bara á fullu í þessiri home -automation vitleysu.
-
Höfundur - Besserwisser
- Póstar: 3171
- Skráði sig: Mið 07. Okt 2009 20:54
- Reputation: 546
- Staðsetning: ::1
- Staða: Ótengdur
Re: nginx reverse proxy - Home lab
Blues- skrifaði:@Hjalti
Já takk fyrir það.
Eins og er þá er ég bara á fullu í þessiri home -automation vitleysu.
Skil þig, var einmitt byrjaður að skoða Z-wave protocolinn um daginn V/home automation pælinga.
Lookar áhugaverður,maður gæti dottið í þennan pakka við tækifæri.
Just do IT
√
√