nginx reverse proxy - Home lab

[Hjaltiatla]

Sælir / Sælar

Var að pæla hvort þið væruð með uppástungu er varðar uppsetningu á nginx reverse proxy á heimanetinu sem ég nota í ákveðið Home lab.

Er að nota ákveðið tól til að einfalda uppsetninguna á Nginx config skránum: https://nginxconfig.io
Mun uploada skránum með winscp inná nginx serverinn þegar ég hef ákveðið uppsetningu.

Netkerfið er mjög einfalt eins og staðan er núna pfsense router með
Wan interface: xxx.xxx.xxx.xxx public ip tala
Lan interface: 192.168.1.1/24
nginx server:192.168.1.50/24

Var að pæla hvernig þið mynduð skilgreina DMZ net til að planta nginx reverse proxy netþjóninum á milli netþjóna og internetsins svo að eitt domain sem ég nota og stýri í gegnum Cloudflare public DNS redirecti öllum fyrirspurnum á netinu á rétta netþjóna.

Edit: hafði hugsað mér að nota t.d netþjóna á innra netinu sem væri aðgengilegt á internetinu með eftirfarandi subdomainum gitlab.example.com - seafile.example.com - citrix.example.com etc..

Smá sketch sem ég henti upp í Visio í flýti hvernig umhverfið lítur út eins og staðan er núna

[kornelius]

Svona er ég að gera þetta:

Port forward 80 og 443 frá Edgerouter (Pfsense) inn á nginx þjón og bý síðan til eins marga virtual síður og ég þarf, til að dreifa á aðrar Virtual vélar, læt fylgja sýnishorn.

server {
listen 80;
return 301 https://$host$request_uri;
}

server {
listen 443 ssl http2;
server_name gitlab.example.com;
ssl_certificate /etc/letsencrypt/live/gitlab.example.com/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/gitlab.example.com/privkey.pem;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl on;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1.2;
ssl_verify_depth 3;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!ECDH:!CAMELLIA:!SEED;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:TLS:2m;
ssl_stapling on;
resolver 1.1.1.1 1.0.0.1 valid=300s;
resolver_timeout 10s;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/letsencrypt/live/gitlab.example.com/fullchain.pem;
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
access_log /var/log/nginx/gitlab.example.com.access.log;

location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass https://192.168.1.40:443/;
proxy_read_timeout 90;

}
}

[Hjaltiatla]

Ok, takk fyrir svarið. gott að vita.

Var sjálfur kominn með þetta og myndi afrita fyrir hvert einasta subdomain

server {
listen 443 ssl http2;
listen [::]:443 ssl http2;

server_name gitlab.example.com;

# reverse proxy
location / {
proxy_pass http://GITLABSERVER:GITLABPORT;
}
}

Annars var ég einnig að spá hvort það væri vit í að hafa eitthvað millinet t.d annan Pfsense fyrir aftan aðal Pfsenseninn (virtual appliance og route-a í gegnum hann) fyrir DMZ eða búa til Vlan á pfsense routernum.

edit:ekki að það skipti öllu máli að skipta upp netinu, er með aðal heimanetið tengt í annað port á Ljósleiðaraboxinu sem er aðgreint frá þessu neti. Bara forvitinn ef maður hefði áhuga á að hafa client vél/ar tengjast inná sama net hvað þyki hentugt/öruggt/öruggara í þeim efnum. Í dag er ég einfaldlega að vpn tengjast frá heimanetinu inná þetta net.

[asgeirbjarnason]

Hvað ertu með mörg port á pfSenseinum?

[Hjaltiatla]

Hvað ertu með mörg port á pfSenseinum?

Sæll

Ég er með 4 port, 2 eru nú þegar í notkun. Lan port á pfsense router tengist við 5 porta netgear gigabit switch í stofunni.
Á eftir að bæta við Raspberry pi cluster inní þetta setup og stærri switch og ganga almennilega frá skápnum og þess háttar.
vill helst bara setja þetta upp og þurfa ekki mikið að pæla í netmálum og skipulagi í kringum það ef maður getur gert þetta rétt frá upphafi.
Afrita síðan allar base stillingar ef eitthvað klúðrast og get restore-að frá því configgi.

[asgeirbjarnason]

Ef Netgear svissinn er bara 5 porta þá er hann líklega ekki með VLAN stuðningi, en ef þú ert með aðgang að VLAN svissi þá myndi ég hafa þetta svona:

vlan uppsetning.png (72.49 KiB) Skoðað 1353 sinnum

Ef þú ert ekki með VLAN sviss þá hefði verið fínt að vera með 5 port, og þá hefðirðu getað sett þetta upp svona:

ekki vlan uppsetning.png (64.33 KiB) Skoðað 1353 sinnum

Sem sagt, í stað þess að vera með tvo routera á sitt hvoru portinu á Telsey boxinu myndi ég setja upp tvö port á pfSenseinum sem þjóna sitthvoru hlutverkinu. Getur þá sett upp routing reglur og eldveggjareglur milli innri netana þriggja beint á pfSensinum, án þess að það sé NAT á þeirri traffík. DMZ netið yrði þá „við hliðina“ á hinum netunum tveimur en ekki „fyrir framan“ serveranetið. Traffíkin milli allra subnetana færi þá síðan alltaf yfir pfSenseinn svo þú gætir sett eins niðurnjörvaðar reglur og þú vilt fyrir DMZ traffíkina.

[Blues-]

@hjaltiatla ..
Þú ert greinilega ekki í sambúð með kvenmanni
Enginn kvenmaður myndi heimila 4 tölvur í stofunni

[Hjaltiatla]

@hjaltiatla ..
Þú ert greinilega ekki í sambúð með kvenmanni
Enginn kvenmaður myndi heimila 4 tölvur í stofunni

Haha, þetta er allt í lagi er að fara að setja 2X40cm ikea hurðar á skápinn.
Málið dautt.

[Hjaltiatla]

Ef Netgear svissinn er bara 5 porta þá er hann líklega ekki með VLAN stuðningi, en ef þú ert með aðgang að VLAN svissi þá myndi ég hafa þetta svona:

vlan uppsetning.png

Ef þú ert ekki með VLAN sviss þá hefði verið fínt að vera með 5 port, og þá hefðirðu getað sett þetta upp svona:

ekki vlan uppsetning.png

Sem sagt, í stað þess að vera með tvo routera á sitt hvoru portinu á Telsey boxinu myndi ég setja upp tvö port á pfSenseinum sem þjóna sitthvoru hlutverkinu. Getur þá sett upp routing reglur og eldveggjareglur milli innri netana þriggja beint á pfSensinum, án þess að það sé NAT á þeirri traffík. DMZ netið yrði þá „við hliðina“ á hinum netunum tveimur en ekki „fyrir framan“ serveranetið. Traffíkin milli allra subnetana færi þá síðan alltaf yfir pfSenseinn svo þú gætir sett eins niðurnjörvaðar reglur og þú vilt fyrir DMZ traffíkina.

Snilld, takk fyrir þetta Ásgeir.
Er að fara að skoða að kaupa mér þennan switch, hann er frekar hljóðlátur og með vlan stuðningi (þarf að lækka antec kassana aðeins til að geta skrúfað hann inní ikea skápinn. Reikna með að það verði þó ekki fyrr en um næstu mánaðarmót.
https://dl.ubnt.com/datasheets/edgemax/EdgeSwitch_Lite_DS.pdf
Þessi 5 porta sem ég á nú þegar er GS105E-100PESPROSAFE switch og er með vlan stuðning.

[Hjaltiatla]

@Blues

Væri alveg til í að sjá annan þráð frá þér álíka og "Heima serverinn / fullorðins uppsetning" við tækifæri.
Það var alveg djúsí lesning á sínum tíma. Þ.e ef þú ert búinn að vera föndra eitthvað nýlega.
þ.e ef þú mátt það í dag

[Blues-]

@Hjalti
Já takk fyrir það.
Eins og er þá er ég bara á fullu í þessiri home -automation vitleysu.

[Hjaltiatla]

@Hjalti
Já takk fyrir það.
Eins og er þá er ég bara á fullu í þessiri home -automation vitleysu.

Skil þig, var einmitt byrjaður að skoða Z-wave protocolinn um daginn V/home automation pælinga.
Lookar áhugaverður,maður gæti dottið í þennan pakka við tækifæri.