SergeS
-
Posts
549 -
Joined
-
Last visited
-
Days Won
1
Posts posted by SergeS
-
-
26 minutes ago, Amoureux said:
После последнего обновления до 7.1.1 RC слетели некоторые настройки в обратном прокси от Synology, из-за чего поломалась авторизация в почте. К тому же, на пример, в Traefik сертификаты автоматически добавляются для любого добавленного сервиса.
Понятно, спасибо... ще один повод пока оставаться на 6
-
9 hours ago, Amoureux said:
У меня все никак руки не дойдут слезть с обратного прокси от Synology , и использовать nginx или traefik в docker.
А почему хотите перелезть?
-
10 hours ago, XPEH said:
Просто посмотрел в описании какие типы записек поддерживаются
https://support.google.com/domains/answer/10751068
Сделайте одну запись А (адрес) на основной домен с поддержкой обновления и добавьте CNAME записи на доп домены с указанием на основной домен.
В тех поддержке работают разные люди и уровень их знаний иногда далеко не высокий. Читают вам инструкцию сами не понимая что именно делают. К тому же важно правильно задать вопрос, а это уже от вас зависит.
Спасибо, попробую. Никогда не пробовал вот эти все A, CNAME и т.д. записи делать, надо же начинать
-
3 hours ago, Crnet said:
Например свой домен. На nas bind в docker с настроенными view - home и world. В этом же docker letsencrypt по dns wild card c dynamic dns update.
На хосте nas - скрипт в кроне который копирует изменившиеся сертификаты из контейнера в приложения и в родной nginx, а так же на удаленный vps.
На хосте NAS 11 приложений в docker (sonarr, radarr, prowlarr, home assistan, vscode и тд). Доступ к web этих приложений в docker через хостовый реверс прокси по реальному хостнейму (https->http). Все приложения поднимаю в контейнерах, через реверс прокси на веб контейнеров удобно.
О, круто, 11 приложений! Спасибо, что поделились... А домен случайно не на Google Domains?
-
16 hours ago, XPEH said:
Я не пользуюсь Google domains , у меня регистрация доменов у другого провайдера. Там позволяется задать маску *.mydimain.com. Кроме того можно на один домен создать доп. Псевдонимы с помощью записей CNAME. Например. CNAME App1.mydomain.com = mydomain.com. Наверняка у google есть что похожее.
P.S.
Проверил. Точно есть и *.mydomain.com и CNAME. т.е. полная совместимость с Интернет DNS стандартами.
А где вы проверяли? Как с этим взлететь то?
Я в гуглодоменовской админке в чате саппорта спросил как сделать, что б не только mydomain.org работал, но и www.mydomain, так мне явно сказали, что надо два рекорда в DDNS section прописать, и даже скриншот прислали. Ну и понятно, хотя этого и не говорили, что эти оба рекорда надо обновлять, иначе ж не работает...
-
1 hour ago, XPEH said:
Очевидно да.
Авто сканеры пробуют целые субнеты и когда находят адрес, который отвечает, пробуют все известные порты, что бы обнаружить запущеные службы. По имени домена атаки в основном только целенаправленые, не массовые.
Многие атаки идут на разные сервисы (порты) напрямую. Например на DNS, FTP, Rsync и пр. В случае если используется только один или минимальное количество портов, точек для атак будет меньше. Кроме того, прямого соединения с другими сервисами не будет и зловредный код к сервису может не попасть. Прокси его не передаст т.к. просто не поймет другой протокол.
Ладно, убедили, спасибо.
А кто как конкретно использует? All, накидайте примеров использования, как лично вы используете reverse proxy, для каких сервисов?И еще вопрос - у меня домен на Google Domains, скажем к примеру goodguy.org.
И я использую DDNS service от тех же Google Domains. Для каждого сервиса использующего reverse proxy должен быть свой свой поддомен, скажем к примеру для двух сервисов: serv1.goodguy.org и serv2.goodguy.org.
Для правильного обновления DDNS все три домена (основной goodguy.org и два поддомена serv1.goodguy.org, serv2.goodguy.org) должны быть прописаны и в DDNS секции в админке Google Domains, и на клиенте, то есть на Xpenology (предполагаем, что сервисы именно там). Но DSM позволяет задать только один домен для каждого провайдера DDNS сервиса. Расскажите, как вы это обходите?
p.s. После написания понял, что мой вопрос скорее не про reverse proxy, а про multiple domains на Google Domains DDNS, но уже решил не задавать отдельный вопрос... -
1 minute ago, QwertRob said:
В том, что меньше открытых портов в мир смотрит.
Ну хорошо, портов меньше, зато доменов больше. И взламывают ведь внутренний ip/порт/сервис, какая разница как злоумышленник туда попадает, через открытый внешний порт или через внешнее доменное имя? Или я что то не понимаю?
-
51 minutes ago, QwertRob said:
Например, для повышения безопасности НАСа при необходимости открыватьнаружу много сервисов и портов. Реверспрокси позволит все это сделать всего с помощью пары портов.
Непонятно... Можно конкретный пример? Вы лично реверс прокси используете? Как конкретно?
Я так понял, что вместо открытого внешнего порта, перенаправляемого на определенный сервис внутри вашей домашней сети, используется отдельный домен, перенаправляемый туда же... В чем тогда выигрыш по безопасности?
-
5 hours ago, i926 said:
Неплохая статейка, возможно она внесёт чуть более ясности в ваши пытания
https://mariushosting.com/synology-how-to-use-reverse-proxy/
Да, спасибо, именно эта статейка и сподвигла меня попробовать. Вроде работает. Но не могу пока придумать, зачем оно мне надо (хаха
), потому и спрашиваю примеры использования, кто как это применяет...
-
Играюсь с reverse proxy, как то не очень с пониманием полезности пока, плохо быть бестолковым :-).
Расскажите, кто для чего ее применяет, на личном опыте дайте примеры, плииз.
-
5 hours ago, XPEH said:
Не получится. Сертификат подключается к сервису или веб серверу при его запуске. Что бы пользоваться разными сертификатами нужно каждый сервер/сервис запускать на разных IP, чего у вас нет.
Понятно, спасибо...
-
Прикупил себе домен на google domains, вдобавок к бесплатному на no-ip.com.
Хочу пока оставить оба домена.
На no-ip'шный домен сертификат был и есть от Lets Encrypt.
На новый домен сделал еще один сертификат, от них же.
Но проблема в том, что нужно указать только один дефолтный сертификат, и тогда ругается на неправильный сертификат, если заходишь с несоответствующего домена... Можно как то сделать, что бы автоматом подставлялся правильный сертификат, в зависимости от до ена на который заходишь?
Для простоты считаем, что никаких virtual hosts нету, сайт только один - WebStation...
-
9 hours ago, XPEH said:
Ничего он не занимает. Похоже на брошенную ссылку на когда-то существующий раздел, которая после удаления раздела не убрана автоматически.
Да, там был когда-то давно второй раздел, но я вроде полностью переустановил Хренолоджи с тех пор. Может как-то ссылка выжила... А может ее попробовать грохнуть?
А то муляет...
-
Все молчат, печально...
Как хоть посмотреть, что это за volume, сколько он занимает?
-
Не совсем специфический вопрос по Xpenology, но в Synology Community никто не отвечает, а тут спецы по Линуху бывают
Я случайно заметил что у меня на одном Xpenology (N54L с шестью дисками в SHR1) Analyzer Report показывает наличие Volume2 (причем аж 1.7 TB). Storage Manager ничего такого не показывает. А WinSCP - таки показывает, пустой :-). Причем баланс дискового пространства показывает, что я вроде никакого 1.7ТБ не теряю, вообще вроде ничего не теряю, при моих дисках и при SHR1 доступный обьем должен быть 5.5+2.7+2.7+1.8+1.8 = 14.5Тб, что я и имею, смотрите скриншоты.
Вопросы:
Правильно ли я понимаю, что я обьем диска не теряю?
Если не теряю, то откуда Analyzer Report берет число 1.7ТБ?
А если теряю, то как это потерянное место без потери инфы вернуть назад?
Да даже если и не теряю, хотелось бы этот Volume2 убрать, как это сделать без потери инфы?
-
On 7/1/2022 at 12:32 PM, IG-88 said:
i would suggest to check syno's own knowledge base for that
if dsm let's you activate a ssd read cache with just one disk then its expected behavior to not loose any data if the cache ssd fails, anything else would be ridiculous
read cache would even need to do more then that because its also important to make sure that the cache content is recent, if not you might read old data from cache, change it and overwrite newer data on the volume - and imho thats the point where your risk is with read cache
I've understand your logic, agreed with it. But I would like to hear some real experience from people who really had this situation.
-
I have four drives shr-1 volume (of course, with data protection) and one drive SSD cache (of course, with NO data protection, read-only).
I know, in case of any single drive of shr-1 volume will crash I will not lose any data, that is what data protection is.
But what gonna happen if my SSD read-only cache drive crashed? Will I loose data on the volume? I believe not, but I would like to get some confirmation :-).
-
2 hours ago, -iliya- said:
у меня для коротких расстояний 5м - готовые кабели sfp+ direct attach cable - брал за 1500р 5м,
для дальнего компа брал оптику - 30м за 1000р и пару модулей SFP+ до 300м -уже не помню по чем
Оно хоть себя оправдывает?
К чему коннектитесь, какая скорость получается и какой роутер? -
16 hours ago, garmoniya duha said:
2. Если иметь белый IP + DDNS service (no-ip.com), тогда, никаких ограничений не будет? Все порты и протоколы будут доступны. Здесь тоже правильно?
Все порты и протоколы будут доступны. Но есть маленькое "ЕСЛИ"...
Если провайдер вам никакие порты и/или сервисы не блокирует и если вы сами правильно сделали port forwarding на вашем роутере.
Вроде еще как то реверс прокси настраивают, вместо port forwarding, но я с этим не разбирался, я порты форваржу :-).п.с. К примеру, только что почти случайно обнаружил, что у меня провайдер почему то заблокировал порт 80, соответственно веб сервер по этому порту стал недоступен...
-
4 hours ago, SergeS said:
Открыт, и 80, и 443...
Ops... Оказалось, таки нет, провайдер с какого-то перепою закрыл 80 порт :-).
Пнул провайдера, порт открыли, сертификат тут же без вопросов обновился...
Спасибо за правильное целеуказание! -
4 hours ago, Olegin said:
На время обновления должн быть открыт порт 80 до хрени, проверьте...
Открыт, и 80, и 443...
-
Просто информирую всех, кто, как и я, пользуется email уведомлениями через gmail, что неделю назад примерно gmail ужесточил политику безопасности подключения к своему smtp серверу. Проверьте, работают ли ваши уведомления, а то будет как у меня, они неделю не работали, причем и дома, и на работе, всего на четырех серверах, а я и не знал :-(. Теперь, что б оно работало, надо пойти в гугл эккаунт, разрешить там 2FA, а потом там же создать отдельный пароль для apps, для каждого сино-сервера свой, и вставить этот пароль в dsm в форму настройки емейл уведомлений вместо пароля к гмайлу.
И тут, кстати, еще заботливо спрятаны маленькие грабельки, - если у вас на этой форме выбран не custom smtp server, а gmail, и вы залогинились прямо из этой формы в свой гмайл, то тестовый емейл посылается и получается без проблем, а notifications все равно приходят через раз. Поэтому не ленитесь и выбирайте custom smtp server из drop листа, с заполнениемв всех настроек...
-
Много лет у меня был Lets Encrypt сертификат на Xpenology, все само автоматом апдейтилось, никаких проблем не было... А тут вдруг случайно обнаружил, что сертификат то протух. Попробовал сделать апдейт руками, не работает... Это у меня одного так, или что случилось?
П.С.: DSM 6.2.3-25426 Update 3... -
1 minute ago, RodionD said:
НА компе не проблема поднять дхцп, но если есть в доступе роутер, то это тоже вариант.
да понятно. Шучу я.
Reverse proxy, расскажите кто как использует
in Програмное обеспечение
Posted
Olegin выше пишет, что у него перестало работать на 7 то, что на 6.2 работало...