nginx reverse proxy - Home lab

Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Ótengdur

nginx reverse proxy - Home lab

Pósturaf Hjaltiatla » Mán 03. Des 2018 17:25

Sælir / Sælar

Var að pæla hvort þið væruð með uppástungu er varðar uppsetningu á nginx reverse proxy á heimanetinu sem ég nota í ákveðið Home lab.

Er að nota ákveðið tól til að einfalda uppsetninguna á Nginx config skránum: https://nginxconfig.io
Mun uploada skránum með winscp inná nginx serverinn þegar ég hef ákveðið uppsetningu.

Netkerfið er mjög einfalt eins og staðan er núna pfsense router með
Wan interface: xxx.xxx.xxx.xxx public ip tala
Lan interface: 192.168.1.1/24
nginx server:192.168.1.50/24

Var að pæla hvernig þið mynduð skilgreina DMZ net til að planta nginx reverse proxy netþjóninum á milli netþjóna og internetsins svo að eitt domain sem ég nota og stýri í gegnum Cloudflare public DNS redirecti öllum fyrirspurnum á netinu á rétta netþjóna.

Edit: hafði hugsað mér að nota t.d netþjóna á innra netinu sem væri aðgengilegt á internetinu með eftirfarandi subdomainum gitlab.example.com - seafile.example.com - citrix.example.com etc..

Smá sketch sem ég henti upp í Visio í flýti hvernig umhverfið lítur út eins og staðan er núna
Mynd


Just do IT
  √

Skjámynd

kornelius
Gúrú
Póstar: 552
Skráði sig: Þri 09. Jan 2018 09:15
Reputation: 113
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf kornelius » Mið 05. Des 2018 07:14

Svona er ég að gera þetta:

Port forward 80 og 443 frá Edgerouter (Pfsense) inn á nginx þjón og bý síðan til eins marga virtual síður og ég þarf, til að dreifa á aðrar Virtual vélar, læt fylgja sýnishorn.

server {
listen 80;
return 301 https://$host$request_uri;
}

server {
listen 443 ssl http2;
server_name gitlab.example.com;
ssl_certificate /etc/letsencrypt/live/gitlab.example.com/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/gitlab.example.com/privkey.pem;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl on;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1.2;
ssl_verify_depth 3;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!ECDH:!CAMELLIA:!SEED;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:TLS:2m;
ssl_stapling on;
resolver 1.1.1.1 1.0.0.1 valid=300s;
resolver_timeout 10s;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/gitlab.example.com/fullchain.pem;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
access_log /var/log/nginx/gitlab.example.com.access.log;

location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass https://192.168.1.40:443/;
proxy_read_timeout 90;

}
}



Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf Hjaltiatla » Mið 05. Des 2018 08:10

Ok, takk fyrir svarið. gott að vita.

Var sjálfur kominn með þetta og myndi afrita fyrir hvert einasta subdomain

server {
listen 443 ssl http2;
listen [::]:443 ssl http2;

server_name gitlab.example.com;

# reverse proxy
location / {
proxy_pass http://GITLABSERVER:GITLABPORT;
}
}

Annars var ég einnig að spá hvort það væri vit í að hafa eitthvað millinet t.d annan Pfsense fyrir aftan aðal Pfsenseninn (virtual appliance og route-a í gegnum hann) fyrir DMZ eða búa til Vlan á pfsense routernum.

edit:ekki að það skipti öllu máli að skipta upp netinu, er með aðal heimanetið tengt í annað port á Ljósleiðaraboxinu sem er aðgreint frá þessu neti. Bara forvitinn ef maður hefði áhuga á að hafa client vél/ar tengjast inná sama net hvað þyki hentugt/öruggt/öruggara í þeim efnum. Í dag er ég einfaldlega að vpn tengjast frá heimanetinu inná þetta net.


Just do IT
  √


asgeirbjarnason
Ofur-Nörd
Póstar: 274
Skráði sig: Fim 28. Apr 2016 20:17
Reputation: 70
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf asgeirbjarnason » Mið 05. Des 2018 13:39

Hvað ertu með mörg port á pfSenseinum?



Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf Hjaltiatla » Mið 05. Des 2018 15:15

asgeirbjarnason skrifaði:Hvað ertu með mörg port á pfSenseinum?


Sæll

Ég er með 4 port, 2 eru nú þegar í notkun. Lan port á pfsense router tengist við 5 porta netgear gigabit switch í stofunni.
Á eftir að bæta við Raspberry pi cluster inní þetta setup og stærri switch og ganga almennilega frá skápnum og þess háttar.
vill helst bara setja þetta upp og þurfa ekki mikið að pæla í netmálum og skipulagi í kringum það ef maður getur gert þetta rétt frá upphafi.
Afrita síðan allar base stillingar ef eitthvað klúðrast og get restore-að frá því configgi.
Mynd


Just do IT
  √


asgeirbjarnason
Ofur-Nörd
Póstar: 274
Skráði sig: Fim 28. Apr 2016 20:17
Reputation: 70
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf asgeirbjarnason » Fim 06. Des 2018 15:59

Ef Netgear svissinn er bara 5 porta þá er hann líklega ekki með VLAN stuðningi, en ef þú ert með aðgang að VLAN svissi þá myndi ég hafa þetta svona:

vlan uppsetning.png
vlan uppsetning.png (72.49 KiB) Skoðað 1599 sinnum


Ef þú ert ekki með VLAN sviss þá hefði verið fínt að vera með 5 port, og þá hefðirðu getað sett þetta upp svona:

ekki vlan uppsetning.png
ekki vlan uppsetning.png (64.33 KiB) Skoðað 1599 sinnum


Sem sagt, í stað þess að vera með tvo routera á sitt hvoru portinu á Telsey boxinu myndi ég setja upp tvö port á pfSenseinum sem þjóna sitthvoru hlutverkinu. Getur þá sett upp routing reglur og eldveggjareglur milli innri netana þriggja beint á pfSensinum, án þess að það sé NAT á þeirri traffík. DMZ netið yrði þá „við hliðina“ á hinum netunum tveimur en ekki „fyrir framan“ serveranetið. Traffíkin milli allra subnetana færi þá síðan alltaf yfir pfSenseinn svo þú gætir sett eins niðurnjörvaðar reglur og þú vilt fyrir DMZ traffíkina.



Skjámynd

Blues-
Vélbúnaðarníðingur
Póstar: 396
Skráði sig: Þri 09. Maí 2006 01:16
Reputation: 18
Staðsetning: /usr/local
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf Blues- » Fim 06. Des 2018 16:11

@hjaltiatla ..
Þú ert greinilega ekki í sambúð með kvenmanni :)
Enginn kvenmaður myndi heimila 4 tölvur í stofunni :)



Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf Hjaltiatla » Fim 06. Des 2018 17:29

Blues- skrifaði:@hjaltiatla ..
Þú ert greinilega ekki í sambúð með kvenmanni :)
Enginn kvenmaður myndi heimila 4 tölvur í stofunni :)


Haha, þetta er allt í lagi er að fara að setja 2X40cm ikea hurðar á skápinn.
Málið dautt.


Just do IT
  √

Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf Hjaltiatla » Fim 06. Des 2018 17:45

asgeirbjarnason skrifaði:Ef Netgear svissinn er bara 5 porta þá er hann líklega ekki með VLAN stuðningi, en ef þú ert með aðgang að VLAN svissi þá myndi ég hafa þetta svona:

vlan uppsetning.png

Ef þú ert ekki með VLAN sviss þá hefði verið fínt að vera með 5 port, og þá hefðirðu getað sett þetta upp svona:

ekki vlan uppsetning.png

Sem sagt, í stað þess að vera með tvo routera á sitt hvoru portinu á Telsey boxinu myndi ég setja upp tvö port á pfSenseinum sem þjóna sitthvoru hlutverkinu. Getur þá sett upp routing reglur og eldveggjareglur milli innri netana þriggja beint á pfSensinum, án þess að það sé NAT á þeirri traffík. DMZ netið yrði þá „við hliðina“ á hinum netunum tveimur en ekki „fyrir framan“ serveranetið. Traffíkin milli allra subnetana færi þá síðan alltaf yfir pfSenseinn svo þú gætir sett eins niðurnjörvaðar reglur og þú vilt fyrir DMZ traffíkina.


Snilld, takk fyrir þetta Ásgeir.
Er að fara að skoða að kaupa mér þennan switch, hann er frekar hljóðlátur og með vlan stuðningi (þarf að lækka antec kassana aðeins til að geta skrúfað hann inní ikea skápinn. Reikna með að það verði þó ekki fyrr en um næstu mánaðarmót.
https://dl.ubnt.com/datasheets/edgemax/EdgeSwitch_Lite_DS.pdf
Þessi 5 porta sem ég á nú þegar er GS105E-100PESPROSAFE switch og er með vlan stuðning.


Just do IT
  √

Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf Hjaltiatla » Fim 06. Des 2018 17:57

@Blues

Væri alveg til í að sjá annan þráð frá þér álíka og "Heima serverinn / fullorðins uppsetning" við tækifæri.
Það var alveg djúsí lesning á sínum tíma. Þ.e ef þú ert búinn að vera föndra eitthvað nýlega.
þ.e ef þú mátt það í dag \:D/


Just do IT
  √

Skjámynd

Blues-
Vélbúnaðarníðingur
Póstar: 396
Skráði sig: Þri 09. Maí 2006 01:16
Reputation: 18
Staðsetning: /usr/local
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf Blues- » Fös 07. Des 2018 09:09

@Hjalti
Já takk fyrir það.
Eins og er þá er ég bara á fullu í þessiri home -automation vitleysu.



Skjámynd

Höfundur
Hjaltiatla
Besserwisser
Póstar: 3171
Skráði sig: Mið 07. Okt 2009 20:54
Reputation: 546
Staðsetning: ::1
Staða: Ótengdur

Re: nginx reverse proxy - Home lab

Pósturaf Hjaltiatla » Fös 07. Des 2018 09:52

Blues- skrifaði:@Hjalti
Já takk fyrir það.
Eins og er þá er ég bara á fullu í þessiri home -automation vitleysu.

Skil þig, var einmitt byrjaður að skoða Z-wave protocolinn um daginn V/home automation pælinga.
Lookar áhugaverður,maður gæti dottið í þennan pakka við tækifæri.


Just do IT
  √