Въпрос за пренасочване на домейн.

[mIRCata]

Имам следната питанка.

Имам домейн (eu) който искам да насоча към машината в къщи. Как да стане това при следните условия.

Чат пат ми се сменя IP-to. За целта не искам да забивам твърдо IP, а да го обвържа към друг домейн(динамичен), който знае текущото ми IP.

Рутера(mikrotik) има възможност за динамичен домейн адрес, но е някаква тяхна система и самия домейн, където ми генерират е от сорта на akflahgflahgalghak.нещоси_там.net. С него в момента съм си направил настройките за VPN в телефона. Работи.

Каква настройка да направя в управлението на домейна, че когато се попита за моя нормален домейн, да се извлече IP-то отговарящо на mikrotik-ския динамичен домейн. Но така, че в браузъра или каквото е там, да се вижда читавото име.

Примерно miro.eu да резолвне адреса на askjfalksfjalkfja..... и да даде него за IP адрес. И утре като ми сменят пак IP-to cooolbox, или сменя доставчика и mikrotik-a обнови през тяхната услуга IP_то на динамичния домейн, аз да не се налага да правя каквото и да е с в настройките на нормални.

Одеве го погледнах, седеше ми още старото IP от Н3, където не е актуално от 2-3 години. А вече смятам да ползвам домейна и искам да автоматизирам управлението и да не се налага да пипам чат пат на ръка настройките на dns-те на домейна.

 

[mIRCata]

Сега се сещам, че сигурно е вариант самия микротик да го играе DNS, който да резолва определени домейни. Но Едно време като го пуснах за първи път, ме налазиха от вън на 53 порт и ползваха рутера за някви ДДоС-и с днс пакети. Та не знам как да го избегна това. Може да кажа там където ми е купен домейна - за този домейн питай  и да сложа адреса от на микротик DDNS, и на самия микроптик да настроя - да отговаря за моите 2-3 домейна. Но трябва да го защита от простотии.

[tedy]

Колко често ти се сменя ип-то?

Насочи си домейна просто към твоя ИП адрес. Като се смени ип-то, отиваш и променяш А записа и готово. Туряш някво TTL от 1 час и тва е.

Аз лично съм си направил скрипт, даже забравих на сървъра ли или в микротика, като усети смяна на ип-то, ми праща мейл за да го обновя в днс, защото там където ми е домейна (домейните), май можеше да се автоматизира, ама не ми се занимава, след като смяна на ип се случва на 2-3г. веднъж.

Edited November 15, 2021 by tedy

[ARPAnet]

Използвай CNAME запис от еу домейна ти сочещ към dyn dns-a ти.

Примерно :
mircata.eu. IN CNAME grozen.dyndns.net. 

[tedy]

Признавам, одеве недочетох двата поста в началото, писах от телефона.

При тези условия да, CNAME е начина...

Но пак, ако си на кулбокс и ИП-то не се сменя чак толкова често, а примерно на 2 години или повече, не бих ползвал несигурните DDNS. Имат ограничения за броя заявки, ще се бавят заявките, при CNAME имаш минимум двойна заявка, прави проблеми с някои клиенти, не се ползва за MX, и др.

Ако не го ползваш за важни неща тоя домейн, тогава става и така, за малко до никакво натоварване със заявки.

[mIRCata]

За 2 години кб ми смениха адреса вече 3 или 4 пъти. Изключи ли рутера за малко повече време и после дават нов адрес. На Н3 бях с един и същи сигурно 6 7 години.

[tedy]

Мда, това определено е проблем. Явно в някои райони го правят, в други не. Завчера спрях рутера и всичко за 4-5 часа, профилактики. Нямаше смяна.

При нашите от наистина много години също не се е сменял, там е А1.

Засега на 2-3г. веднъж е търпимо за мен, все пак за секюрити съм си го въвел на няколко места адреса, и даже последния път нещо се вкиснах, и май въведох цял рейндж за по-малка вероятност при бъдеща смяна да се налага да сменям пак навсякъде.

[ARPAnet]

Някои от регистраторите имат API-та за управление, и това е пътечка ако ви се занимава и искате да прескочите разните дин днс услуги:)

 

[mIRCata]

В суперхостинг ми е домейна. Чета, че за eu домейни можели да се ползва само Frame и url пренасочване.

[ARPAnet]

CNAME си работи за EU, сега специално погледнах и наистина го ползвам.

Просто го тествай със суперхостинг

[tedy]

То не е важно къде точно е регистриран домейна, а къде са ДНС-ите за него. Там управляваш ДНС записите, в случая А или ЦНАМЕ.

Иначе аз съм в Cloudflare и мисля че имаха някво АПИ както споменах нагоре, но не ми се занимава, освен ако ИП-то ми се сменяше на 3-4 месеца.

За суперхостинг - това са най-скъпарите за домейни (и не само), направо недоумявам как още има хора да си държат домейн имената там, при условие че отдавна вече има регистрари с почти една трета от цената, още преди 3г. като се появиха вече няколко (вкл. Cloudflare) разкарах всички домейни от суперхостинги, ицн-и и т.н. Дори icdsoft са за предпочитане ако ще е български регистрар, само 2 лв отгоре са спрямо CF например.

[mIRCata]

бяха другаде, ама СХ ги купиха

[tedy]

Да, купиха ICN. Само казвам - сега е суперхостинг, а те имат едни цени. Близо 34 лв за .com, ужас. Оня ден (автоматично ми дърпат) платих 14 лв за .com, а малко преди това явно долара беше по-нисък, 12 и нещо. За един домейн може да е нищо, ама при 4-5 или 10-тина и нагоре..

[mIRCata]

Да не отварям нова тема, горе долу е в същата зона въпроса

Някой успявал ли е да подкара следната схема:

домейн сложен в cloudflare да се пренасочва към домашния ми адрес, където нещата се управляват с nginx-proxy + certbot за lets encrypt сертификати в докер.

В смисъл в къщи в докер вървят 2-та контейнера на nginx + certbot, който като добавя някакъв домейн(сайт) като контейнер му прави и обновява сертификати автоматично.

Защото в CF каквото и да кажа за SSL/TLS encryption mode между тях и мен дава грешка Server is down. По начало искам да ползвам опциите Full / Full(Restrict) за кодиране на комуникацията между нас.

Обаче ако кажа, че домейна не е през тях, а директно към мен да дойде, без никакви промени от моя страна - сайта се отваря и то със HTTPS и валиден сертификат.

 

Друго което забелязах е, че при когато е на Full - в nginx - дори не светва в лога, че идва връзка. На рутера се вижда че идват някакви пакети и се редиректват, но nginx не дава да идват заявки.

Ако сменя в CF на Off - идват няколко заявки на 80 порт, проксито показва, че има заявки, но пак не се вижда нищо.

Идеи какво може да направя?

[Godfather]

Какво точно ползваш на Claoudflare? Ако е Workers, там не става въпрос точно за пренасочване на домейн, защото имаш пълна терминация на връзката с декриптиране и всичко останало. Освен това трябва да видиш какво точно ти прави рутера, че нещо не ми се вижда съвсем в ред, поради факта, че получаваш заявки на порт 80, при положение, че връзката трябва да е TLS/443 от край до край.

[mIRCata]

5 hours ago, Godfather said:

получаваш заявки на порт 80,

Това е когато в CF кажа в SSL/TLS encryption mode секцията, че комуникацията между тях и моя коме е Off. Ако избера Full или Full Strict - т.е че при мен има валиден сертификат тогава CF опитва да комуникира на 443

5 hours ago, Godfather said:

Какво точно ползваш на Claoudflare?

Нищо особено. Просто да дох добавяне на сайт и си карах по wizard-a им - вкарване на домейн, сканиране, промяна на DNS сървъри и т.н

[ARPAnet]

Не съм си играл с CF, но ти не си ли местиш ресолва на домейна към техен адрес? А те след това пренасочват към теб по ИП или някакъв служебен адрес който те ти дават? 

Ако това е случая - твоят локален сертификат от certbot-а е невалиден за ИП-то ти/Служебният адрес, и вероятно това чупи комуникацията.

Но само гадая

[Godfather]

On 10/1/2023 at 9:51 PM, mIRCata said:

Това е когато в CF кажа в SSL/TLS encryption mode секцията, че комуникацията между тях и моя коме е Off. Ако избера Full или Full Strict - т.е че при мен има валиден сертификат тогава CF опитва да комуникира на 443

Нищо особено. Просто да дох добавяне на сайт и си карах по wizard-a им - вкарване на домейн, сканиране, промяна на DNS сървъри и т.н

Има съществени разлики между тия режими и това може да води до допълнителни проблеми. Full (Strict) не ти го препоръчвам, защото задава доста рестриктивен режим към TLS връзката на клиента. Вместо него, опитай Strict (SSL-Only Origin Pull) - с тази настройка връзката между CF и теб е винаги TLS, без значение какво иска клиента. Full е опция, управлявана изцяло от клиентската страна - ако заявката е HTTP, тогава и при теб ще дойде HTTP. Избери Strict (SSL-Only Origin Pull) и виж какво ще идва при теб, но почни първо с рутера, какво точно идва на публичното IP и какво се трансформира към вътрешния ти сървър. След това запиши пакетите пристигащи на сървъра, преди да се обработят от nginx. Пусни tcpdump или там каквото използваш за прихващане на трафика и тогава в CF превключи на опцията. Вероятно CF използва някаква проба, която при Strict (SSL-Only Origin Pull) трябва задължително да използва TLS. Трябва да хванеш какво става точно с тия проби, защото явно тогава CF решава, че сървъра е down и явно не изпраща заявките от клиента.