Jump to content
BulForum.com

Въпрос за пренасочване на домейн.


mIRCata

Recommended Posts

Имам следната питанка.

Имам домейн (eu) който искам да насоча към машината в къщи. Как да стане това при следните условия.

Чат пат ми се сменя IP-to. За целта не искам да забивам твърдо IP, а да го обвържа към друг домейн(динамичен), който знае текущото ми IP.

Рутера(mikrotik) има възможност за динамичен домейн адрес, но е някаква тяхна система и самия домейн, където ми генерират е от сорта на akflahgflahgalghak.нещоси_там.net. С него в момента съм си направил настройките за VPN в телефона. Работи.

Каква настройка да направя в управлението на домейна, че когато се попита за моя нормален домейн, да се извлече IP-то отговарящо на mikrotik-ския динамичен домейн. Но така, че в браузъра или каквото е там, да се вижда читавото име.

Примерно miro.eu да резолвне адреса на askjfalksfjalkfja..... и да даде него за IP адрес. И утре като ми сменят пак IP-to cooolbox, или сменя доставчика и mikrotik-a обнови през тяхната услуга IP_то на динамичния домейн, аз да не се налага да правя каквото и да е с в настройките на нормални.

Одеве го погледнах, седеше ми още старото IP от Н3, където не е актуално от 2-3 години. А вече смятам да ползвам домейна и искам да автоматизирам управлението и да не се налага да пипам чат пат на ръка настройките на dns-те на домейна.

 

Link to comment
Share on other sites

Сега се сещам, че сигурно е вариант самия микротик да го играе DNS, който да резолва определени домейни. Но Едно време като го пуснах за първи път, ме налазиха от вън на 53 порт и ползваха рутера за някви ДДоС-и с днс пакети. Та не знам как да го избегна това. Може да кажа там където ми е купен домейна - за този домейн питай  и да сложа адреса от на микротик DDNS, и на самия микроптик да настроя - да отговаря за моите 2-3 домейна. Но трябва да го защита от простотии.

Link to comment
Share on other sites

Колко често ти се сменя ип-то?

Насочи си домейна просто към твоя ИП адрес. Като се смени ип-то, отиваш и променяш А записа и готово. Туряш някво TTL от 1 час и тва е.

Аз лично съм си направил скрипт, даже забравих на сървъра ли или в микротика, като усети смяна на ип-то, ми праща мейл за да го обновя в днс, защото там където ми е домейна (домейните), май можеше да се автоматизира, ама не ми се занимава, след като смяна на ип се случва на 2-3г. веднъж.

Edited by tedy
Link to comment
Share on other sites

Признавам, одеве недочетох двата поста в началото, писах от телефона.

При тези условия да, CNAME е начина...

Но пак, ако си на кулбокс и ИП-то не се сменя чак толкова често, а примерно на 2 години или повече, не бих ползвал несигурните DDNS. Имат ограничения за броя заявки, ще се бавят заявките, при CNAME имаш минимум двойна заявка, прави проблеми с някои клиенти, не се ползва за MX, и др.

Ако не го ползваш за важни неща тоя домейн, тогава става и така, за малко до никакво натоварване със заявки.

Link to comment
Share on other sites

За 2 години кб ми смениха адреса вече 3 или 4 пъти. Изключи ли рутера за малко повече време и после дават нов адрес. На Н3 бях с един и същи сигурно 6 7 години.

Link to comment
Share on other sites

Мда, това определено е проблем. Явно в някои райони го правят, в други не. Завчера спрях рутера и всичко за 4-5 часа, профилактики. Нямаше смяна.

При нашите от наистина много години също не се е сменял, там е А1.

Засега на 2-3г. веднъж е търпимо за мен, все пак за секюрити съм си го въвел на няколко места адреса, и даже последния път нещо се вкиснах, и май въведох цял рейндж за по-малка вероятност при бъдеща смяна да се налага да сменям пак навсякъде.

Link to comment
Share on other sites

То не е важно къде точно е регистриран домейна, а къде са ДНС-ите за него. Там управляваш ДНС записите, в случая А или ЦНАМЕ.

Иначе аз съм в Cloudflare и мисля че имаха някво АПИ както споменах нагоре, но не ми се занимава, освен ако ИП-то ми се сменяше на 3-4 месеца.

За суперхостинг - това са най-скъпарите за домейни (и не само), направо недоумявам как още има хора да си държат домейн имената там, при условие че отдавна вече има регистрари с почти една трета от цената, още преди 3г. като се появиха вече няколко (вкл. Cloudflare) разкарах всички домейни от суперхостинги, ицн-и и т.н. Дори icdsoft са за предпочитане ако ще е български регистрар, само 2 лв отгоре са спрямо CF например.

Link to comment
Share on other sites

Да, купиха ICN. Само казвам - сега е суперхостинг, а те имат едни цени. Близо 34 лв за .com, ужас. Оня ден (автоматично ми дърпат) платих 14 лв за .com, а малко преди това явно долара беше по-нисък, 12 и нещо. За един домейн може да е нищо, ама при 4-5 или 10-тина и нагоре..

Link to comment
Share on other sites

  • 1 year later...

Да не отварям нова тема, горе долу е в същата зона въпроса

Някой успявал ли е да подкара следната схема:

домейн сложен в cloudflare да се пренасочва към домашния ми адрес, където нещата се управляват с nginx-proxy + certbot за lets encrypt сертификати в докер.

В смисъл в къщи в докер вървят 2-та контейнера на nginx + certbot, който като добавя някакъв домейн(сайт) като контейнер му прави и обновява сертификати автоматично.

Защото в CF каквото и да кажа за SSL/TLS encryption mode между тях и мен дава грешка Server is down. По начало искам да ползвам опциите Full / Full(Restrict) за кодиране на комуникацията между нас.

Обаче ако кажа, че домейна не е през тях, а директно към мен да дойде, без никакви промени от моя страна - сайта се отваря и то със HTTPS и валиден сертификат.

 

Друго което забелязах е, че при когато е на Full - в nginx - дори не светва в лога, че идва връзка. На рутера се вижда че идват някакви пакети и се редиректват, но nginx не дава да идват заявки.

Ако сменя в CF на Off - идват няколко заявки на 80 порт, проксито показва, че има заявки, но пак не се вижда нищо.

Идеи какво може да направя?

Link to comment
Share on other sites

Какво точно ползваш на Claoudflare? Ако е Workers, там не става въпрос точно за пренасочване на домейн, защото имаш пълна терминация на връзката с декриптиране и всичко останало. Освен това трябва да видиш какво точно ти прави рутера, че нещо не ми се вижда съвсем в ред, поради факта, че получаваш заявки на порт 80, при положение, че връзката трябва да е TLS/443 от край до край.

Link to comment
Share on other sites

5 hours ago, Godfather said:

получаваш заявки на порт 80,

Това е когато в CF кажа в SSL/TLS encryption mode секцията, че комуникацията между тях и моя коме е Off. Ако избера Full или Full Strict - т.е че при мен има валиден сертификат тогава CF опитва да комуникира на 443

5 hours ago, Godfather said:

Какво точно ползваш на Claoudflare?

Нищо особено. Просто да дох добавяне на сайт и си карах по wizard-a им - вкарване на домейн, сканиране, промяна на DNS сървъри и т.н

Link to comment
Share on other sites

Не съм си играл с CF, но ти не си ли местиш ресолва на домейна към техен адрес? А те след това пренасочват към теб по ИП или някакъв служебен адрес който те ти дават? 

Ако това е случая - твоят локален сертификат от certbot-а е невалиден за ИП-то ти/Служебният адрес, и вероятно това чупи комуникацията.

Но само гадая :)

Link to comment
Share on other sites

On 10/1/2023 at 9:51 PM, mIRCata said:

Това е когато в CF кажа в SSL/TLS encryption mode секцията, че комуникацията между тях и моя коме е Off. Ако избера Full или Full Strict - т.е че при мен има валиден сертификат тогава CF опитва да комуникира на 443

Нищо особено. Просто да дох добавяне на сайт и си карах по wizard-a им - вкарване на домейн, сканиране, промяна на DNS сървъри и т.н

Има съществени разлики между тия режими и това може да води до допълнителни проблеми. Full (Strict) не ти го препоръчвам, защото задава доста рестриктивен режим към TLS връзката на клиента. Вместо него, опитай Strict (SSL-Only Origin Pull) - с тази настройка връзката между CF и теб е винаги TLS, без значение какво иска клиента. Full е опция, управлявана изцяло от клиентската страна - ако заявката е HTTP, тогава и при теб ще дойде HTTP. Избери Strict (SSL-Only Origin Pull) и виж какво ще идва при теб, но почни първо с рутера, какво точно идва на публичното IP и какво се трансформира към вътрешния ти сървър. След това запиши пакетите пристигащи на сървъра, преди да се обработят от nginx. Пусни tcpdump или там каквото използваш за прихващане на трафика и тогава в CF превключи на опцията. Вероятно CF използва някаква проба, която при Strict (SSL-Only Origin Pull) трябва задължително да използва TLS. Трябва да хванеш какво става точно с тия проби, защото явно тогава CF решава, че сървъра е down и явно не изпраща заявките от клиента.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...