Jak mit na serveru vice sluzeb pres HTTPS port 443 pod domenou?

Ethereal

Zdravim vsechny.
Hledal jsem zde na foru, ci uz se nekdo predemnou na to same nahodou neptal, ale nenasel jsem prave nic konkretne, tak si polozim dotaz. Popisu to co nejpodrobneji.

Mam server, na nem Proxmox a v nem nekolik VM. Tyto VM maji prirazeny samostatne vnitrni adresy z rozsahu 192.168.x.x. V techto VM bezi nekolik sluzeb, ktere maji webmanagement pres HTTPS protokol, cisla portu jsou ruzne,, nejen 443. Mam k dispozici 1 verejnou IP a zaregistroval jsem si domenu. Potrebne DNS zaznamy taky nastaveny mam.

Potrebuji docilit toho, abych po zadani napriklad "nc.mojedomena.net", bez cisla portu, skoncil packet na stanici s IP 192.168.0.200 pod portem 30027, bez toho abych musel jak doposud, cislo portu zadavat, napr.: https://mojedomena.net:30027
Na stejnem VM s koncovym IP 200, bezi dale http server pod portem 8090, takze napriklad zadani "files.mojedomena.net", by melo skoncit na stanici s IP 192.168.0.200 a portu 8090.
Dalsi VM pak maji IP pokracujici 201, 202, 203 atd..

Jak tohoto dosahnout? Google i ChatGPT mi doporucuji pouziti Nginx proxy. Jsou i jine zpusoby, nebo bude pouziti proxy, nejjednodussi reseni?

Predem diky za odpoved.

cmgn

Ethereal jediné použitelné je snad jen reverzní proxy. Nginx, Apache..

pgb

Radí ti dobře, jediný způsob jak rozdělit jeden port (80/443) je pomocí aplikační proxy, revers proxy je úplně běžná věc a pomocí třetího řádu na doméně to hezky rozdělíš. Úplně základní konfigurace vypadá třeba takhle:

<IfModule mod_ssl.c>
<VirtualHost *:443>
    ServerName moje.domena.cz

    ProxyPreserveHost On
    ProxyPass / http://10.10.20.35:3000/
    ProxyPassReverse / http://10.10.20.35:3000/

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

SSLCertificateFile /etc/letsencrypt/live/moje.domena.cz/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/moje.domena.cz/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>
</IfModule>

```

jcltm

Ještě lze třeba HA Proxy na pfSense, to umí kromě reverzní proxy třeba i loadbalancing.

Ethereal

Dik za rady.. Vyresim to nakonec tedy pres proxy.

gnux

Na proxy buď čistej Nginx (s VRP se dá udělat hezky do HA). Nebo případně pokud chceš na doma jednoduché klikátko tak doporučím https://nginxproxymanager.com/

Hlavně ne už v dnešní době Apache

zdeneksvarc

Že k tomu slouží reverzní proxy (caddy, nginx) tady zaznělo. Na 99% ovšem ty aplikační servery nemusí běžet jako samostatné VM a žrát zbytečně systémové prostředky. Můžou běžet jako Docker Compose projekty klidně v rámci jedné VM. Což má obrovskou výhodu, mimo jiné, že si je reverzní proxy přes labels ošahá. Všechno běží hezky automaticky.

staryvena

zdeneksvarc K tomu ještě doplním, že u Proxmoxu se to může rozjet jako LXC kontejner (pokud by nechtěl rušit ty VM). A na ty labely pozor, aby je to mohlo číst, tak to musí mít přístup k docker socketu, sice u jde omezit jenom pro čtení, ale i tak by se pak útočník mohl dostat k některým citlivým informacím. Jde to omezit přes proxy.

zdeneksvarc

staryvena Ano. Nebo namountovat docker socket do reverzní proxy jenom pro čtení:

volumes:
  - /var/run/docker.sock:/var/run/docker.sock:ro

Secrets by přes docker.sock nemělo být možné vyčíst, ale můžou být citlivé informace v envs, které vyčíst jdou.

nosek_tomas2004

Krásné odpoledne,
dovolím si oživit toto vlákno, ať zbytečně nezakládám další. Mám trošku podobný "problém" jako původní tazatel:

Zkrátka - mám více služeb na více serverech (v LAN), pro které chci HTTPS. Většinově jde o nějaké WebMGMT --> řekněme na:

Server A--> HA
Server B--> NetXMS WebConsole
QNAP NAS, jiná API atd.

V tuto chvíli mám pod HTTPS pouze HomeAssistanta a to tak, že přes LetsEncrypt se volá HTTP01-Challenge, kdy na NATu mám směrovaný port 80 na port toho addonu, aby proběhlo ověření a vygeneroval/obnovil se certifikát. Při takto jednom stroji to funguje v pohodě.

Když to ale budu potřebovat na více strojů, tak se dostávám do problémů, že vlastně nemůžu směřovat tu ověřovací 80tku zároveň na víc cílů. A navíc některé zařízení (např typicky nějaký web-mgmt switche, nvr atd.) neumí vůbec s LetsEncrypt spolupracovat.

Nejjdenoduší řešení by bylo mít centrální proxy, která to SSL bude dodělávat, ale tímto směrem jít nechci, protože DNS záznamy na ty servery by pak musely směřovat na tu proxy (z venku v pohodě, ale zevnitř chci ukazovat na ten server kvůli dalším službám).

Proto bych chtěl poprosit o radu jak se k tomu postavit a jak se to řeší. V tuhle chvíli mě napadají pouze dvě řešení:

A) Proxy pro HTTP01-Challange
V podstatě nechat každý stroj si žádat o svůj certifikát a tu 80tku zvenčí směrovat na proxy, která to bude dál rozhazovat na ty konkrétní servery aby proběhlo ověření a následně vystavení certifikátu. A holt tupá zařízení co ACME/Certbot neumí, tak mají asi smůlu

nebo

B) Centrální správa a distribuce certifikátu
Mít nějaký centrální server (kontejner), co si vyžádá a bude se starat o obnovování těch certifikátů a následně je bude distribuovat na ty jiné servery (ale jak 🤔?). Případně by asi šlo využít i wildcard certifikát (*.domena.cz)? Tady by případně měly jít nahrát ty soubory ručně i do těch tupějších zařízení, když by k nim neexistovala nějaká automatizace (ale je to vzhledem k délce těch certifikátu docela blbost asi)

Chtěl bych poradit, jakou cestou se ubírat a případně jestli existuje ještě něco, co jsem nedohledal. Nebo zda na to jdu úplně špatně.

Děkuju moc

(PS: Porty vlbec neřeším tak, jako původní tazatel - počítám s tím, že SSL služba pojede na jiném portu než neSSL služba atd. a nepotřebuji to řešit)

zdeneksvarc

nosek_tomas2004 Proletěl jsem to v rychlosti, tak snad jsem zadání pochopil správně. Řešení za mě:

1) V lokální síti je bezvadný mít privátní CA, např. self-hosted Step CA. Lokální doména je pak ve stylu homeassistant.homelab.lan. Umí to ACME přes HTTP-01 challenge, umí to vystavovat certifikáty přes CLI. Fakt super věc. Používám dlouho, https://smallstep.com/docs/step-ca

2) Split-brain DNS. Nemám moc rád. Nepoužívám.

3) Použít Pangolin/Newt, cloudflared nebo jinou edge exit node. Takže zdroje jsou lokální, přes wireguard vylezou na veřejný edge a ten pro ty lokální zdroje dělá TLS terminaci. Případně Pangolin/Gerbil, ale s tím nemám zkušenost. Ten neopustí lokální perimetr z pohledu IP prostoru.

4) Centrální distribuce certifikátů je dobrý směr. Můžeš mrknout na CertMate, taky to mám v plánu, https://www.certmate.org

nosek_tomas2004

zdeneksvarc Díky za odpověď. Zkusím si to projít, dohledat a prostudovat 😅.

zdeneksvarc 2) Split-brain DNS. Nemám moc rád. Nepoužívám.

Že bych z to nějak extra vyznával neříkám, ale existuje nějaké jiné/lepší řešení v typické domácí situaci, kdy mám jednu veřejku na routeru a mapuju porty dovnitř a při přístupu zevnitř chci jít přímo přes vnitřní síť? Buď musím mít teda 2 názvy a v každém klientovi 2 connectiony(zevnitř/zvenku) a nebo holt veřejné DNS vrací na každé takové jméno veřejku a DNS server v LAN vrací vnitřní adresy 🫣.

Je to nějak zásadně špatně, že by mělo cenu uvažovat o tom to předělat nějak jinak?

zdeneksvarc

nosek_tomas2004 To je právě o mindsetu. Mapování portů je nepraktický old school. Z pohledu bezpečnosti navíc nevidím výhodu oproti ZTA uzlu vystrčenému na veřejnou IP. Chce to mentální update. Pak přijde na chuť právě Pangolin, Netbird nebo Tailscale/Headscale.

lacosta

Ja som sa hral s https://www.certwarden.com/ a tiez fajn ...

hapi

máme Apache2 jako proxy a s https. To se řeší přes mod_ssl a md. md samo vyřizuje certifikaci s letsncrypt a nemusím se o nic starat, vše je uvnitř apache. Správnou konfigurací vyřeším domény a https i proxy na skutečné servery bez https. Typicky se za tím ukryjí staré apache servery a nebo i nové node.js servery. Pro mě je důležité že si to apache řeší s md modulem sám. Lze tam dokonce slučovat několik domén pod jeden certifikát.

Tady je nějaké info: https://www.root.cz/clanky/https-certifikat-let-s-encrypt-pomoci-apache-a-vestaveneho-modulu-mod-md/