1 Temat przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 1,162

Temat: Przekierowanie IP i portu

Trudno to opisać ale próbuję. Jest sytuacja.
Komputer mini px x86 na Openwrt IP 192.168.1.1 zwany dalej PCA znajdujący się u kogoś w lokalizacji "X". PCA ma publiczne IP i pełni rolę "serwera" VPN WireGuard IP 10.9.0.1. Internet z Multimedia.

Kolejny komputer min pc x86 na Openwrt IP 192.168.2.1 zwany dalej PCB jest u mnie w lokalizacji "Z". Internet od lokalnego dostawcy Netcom. PCB nie ma publicznego IP lecz ma zainstalowany "klient" VPN WireGuard IP 10.9.0.2 i dostęp do PCB z zewnątrz odbywa się za pomocą VPN PCA<-->PCB. Wszystko działa.
Do PCB w tej samej sieci lokalnej podłączone jest Rasoberry pi IP 192.168.2.2 z zainstalowanym Nginx Proxy Manager które nasłuchuje na porcie 80 i 443 i dalej robi przekierowania na konkretne IP i porty (to też działa).

Na PCA chcę zainstalować serwer lighttpd powiedzmy na porcie 90. Lecz Nginx Proxy Manager (Rpi) który zajmuje się przekierowaniami jest w sieci tam gdzie PCB. Nginx Proxy Manager (Rpi) będzie miał zrobioną odpowiednią konfigurację że moja.nazwa.hosta.pl ma trafić na 192.168.1.1 ? port 90 czyli na serwer lighttpd PCA.
Wiem że firewall na PCA i PCB muszą być odpowiednio skonfigurowane z uwzględnieniem VPN WireGuard aby to zadziałało.

Teraz pytanie. Czy korzystając z serwera lighttpd PCA poza siecią PCA i PCB dla czytelności np. ze smartfona transmisja danych i pobierając np. jakiś duży plik który wystawiony jest na lighttpd PCA. To będziemy korzystać tylko z łącza internetowego PCA Multimedia. Czy niestety również będzie to przechodzić przez PCB i internet Netcom.

Obecnie serwer lighttpd mam na PCB, lecz słabe transfery, trochę zrywa połączenia. I chciałbym przenieść serwer na PCA wykorzystując internet tylko PCA, lecz przekierowanie na serwer PCA pochodziłoby z Rpi który jest w sieci PCB.

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,050

Odp: Przekierowanie IP i portu

Przez PCB. Ruch najpierw trafia na domenę na nginix, który kieruje się znów przez tunel na pca.

Skoro chcesz postawić to na pca to przenosisz całość na pca i żadnego przekierowana nie robisz bo przecież to stoi na publicznym adresie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez sqoorch

  • Skąd: Łódź
  • Zarejestrowany: 2015-11-27
  • Posty: 109

Odp: Przekierowanie IP i portu

krynio napisał/a:

Nginx Proxy Manager [..] robi przekierowania na konkretne IP i porty (to też działa).

Raczej nie robi przekierowań (redirect), tylko jak nazwa wskazuje - robi proxy dla docelowych serwerów. Ale ogarniam.

W tym układzie zaciągając tak dane będziesz przepychał je dwukrotnie przez tunel wg, ze 192.168.1.1 przez proxy w sieci za PCB i z powrotem do bramy na świat (PCA), jeśli się nie mylę. Nie lepiej wystawić to proxy w sieci za 192.168.1.1 - albo wręcz zduplikować, w zależności od źródła ruchu?

4 Odpowiedź przez krynio (edytowany przez krynio 2023-03-02 22:28:44)

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 1,162

Odp: Przekierowanie IP i portu

@sqoorch pewnie że lepiej, Cezary też o tym napisał. Prawdę mówiąc tak mam tylko obecnie testowo wyłączyłem Nginx Proxy na PCA 192.168.1.1 z pewnych powodów.
Ponieważ na Raspberry pi mam zainstalowaną po nowemu Suplę (docker-compose.standalone.yml i do tego Nginx Proxy Manager który poza przekierowaniami wystawia też certyfikaty SSL), działa to bardzo ładnie.
Wcześniej Suple miałem po staremu czyli (docker-compose.proxy.yml BEZ Nginx Proxy Manager i wystarczyło przekierowanie portów 80 i 443 na Raspberry). Jednak w supla trochę się pozmieniało a może bardziej w docker (to nie historia na to forum) i powiedzmy że stara metoda nie jest już aktualizowana. Nie mogłem używać nowych wersji software na Rpi. Co prawda pewnie dało by się uruchomić nowe wersie software Rpi i supla po staremu, ale ja nie porafię. I widzę że wszyscy przeszli na nową metodę.

Próbowałem tak że miałem aktywny Nginx Proxy na PCA 192.168.1.1 oraz Nginx Proxy Manager na Rpi (w sieci PCB), lecz miałem problemy ze stronami https i certyfikatami na starych urządzeniach. Choć na dziś uważam że raczej te problemy wynikały z nowego standardu certyfikatów ssl ecdsa i secp384r1. To jest jeszcze do zbadania. No i mając tylko Nginx Proxy Manager i certyfikaty ssl na Rpi uniknąłbym kopiowania certyfikatów na PCA na potrzeby jego Nginx Proxy co miało miejsce.

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270