Librusec через COPS на хрени

[SDL2000]

4 hours ago, Vincent666 said:

В пределах домашней сети все устройства при обращении на адрес ххх.synology.me обращаются на локальный адрес Сино (192.168.х.х).

Снаружи тоже все корректно открывает?

Настройки-Журналы - Ваш внешний IP показывает при доступе к прописанному приложению?

Edited April 28, 2023 by SDL2000

[Vincent666]

1 hour ago, SDL2000 said:

Снаружи тоже все корректно открывает?

Настройки-Журналы - Ваш внешний IP показывает при доступе к прописанному приложению?

Снаружи тоже все корректно.

При подключении удаленном вижу адрес свой.

Пробовал подключаться с виртуалки внутри сети. видел адрес виртуалки.

[SDL2000]

1 hour ago, Vincent666 said:

При подключении удаленном вижу адрес свой.

А у меня без того скриптика виделся адрес контейнера докера

[Vincent666]

7 minutes ago, SDL2000 said:

А у меня без того скриптика виделся адрес контейнера докера

 

Ну тут не могу подсказать. Скрипт не использовал.

Система как есть изначально настроенная так и есть.

Но сейчас проверил еще через VPN вижу адрес ноута со стороны VPN.

[Brull]

В 27.04.2023 в 11:22, dj_nsk сказал:

Локально - всё работает отлично! (только прицепленный OmniReader не может читать, т.к. пытается скачать по локальному IP)

А при доступе извне - вот: 

Это именно из-за отсутствия проброса WebSocket в реверспрокси

[dj_nsk]

2 часа назад, Brull сказал:

Это именно из-за отсутствия проброса WebSocket в реверспрокси

а можете подсказать, как его пробросить? вроде я пробовал чего-то понажимать - всё добавилось, но на результат не повлияло... 

[unlikable]

Ребят, есть инструкция как nqinx поставить на хрень. Я Маркусу даже задонатил, но  остановился на этапе создания config.json 

[Amoureux]

10 часов назад, unlikable сказал:

Ребят, есть инструкция как nqinx поставить на хрень. Я Маркусу даже задонатил, но  остановился на этапе создания config.json 

Либо используй родной, который в системе в качестве обратного прокси, либо в docker образ разверни.

[unlikable]

2 hours ago, Amoureux said:

Либо используй родной, который в системе в качестве обратного прокси, либо в docker образ разверни.

Когда создаешь поддомен его нужно регистировать как то на хостере, если ns хостера используются? Может из за этого штатный прокси "не работает"?

Edited July 23, 2023 by unlikable

[Amoureux]

19 часов назад, unlikable сказал:

Когда создаешь поддомен его нужно регистировать как то на хостере, если ns хостера используются? Может из за этого штатный прокси "не работает"?

Не совсем понят, что тебе нужно.

 

Штатный Nginx в DSM работает в качестве обратного прокси, другого назначения у него нет. Сертефикаты система получить и обновить может самостоятельно, но данные надо заполнить ручками.

 

Если тебе нужно что-то большее в части функционала - посмотри в сторону Nginx в Docker-контейнере.

[unlikable]

Не совсем понят, что тебе нужно.
 
Штатный Nginx в DSM работает в качестве обратного прокси, другого назначения у него нет. Сертефикаты система получить и обновить может самостоятельно, но данные надо заполнить ручками.
 
Если тебе нужно что-то большее в части функционала - посмотри в сторону Nginx в Docker-контейнере.

Благодарю разобрался. С терминологией не знаком, поэтому непонятно спрашиваю. Мой косяк. Не работало, потому что не добавил А запись для поддомен у регистратора. Теперь все работает.
Теперь вопрос в другом- synology дает let’s crypt сертификат для *.example.com только для своего ddns, для собственного же домена нужно прописывать при получении явно поддомены. Когда у меня появляется необходимость добавить новый поддомен мне необходимо удалить старый ssl сертификат и создать новый? Как это сделать посредством штатного по синолоджи?

[Brull]

Либо вы удаляете старый сертификат и создаете новый с добавлением новых поддоменов, либо создаете новый сертификат только для поддомена, оба варианта приемлемы.

Я стараюсь делать новый сертификат для каждого поддомена, во первых не надо трогать старые, которые уже работают, во вторых перечисление всех поддоменов в одном сертификате показывает всем какие у вас есть поддомены просто прочитав ваш сертификат, это конечно паранойя, но все же...

И да, все ручками.

Edited July 24, 2023 by Brull

[unlikable]

Либо вы удаляете старый сертификат и создаете новый с добавлением новых поддоменов, либо создаете новый сертификат только для поддомена, оба варианта приемлемы.
Я стараюсь делать новый сертификат для каждого поддомена, во первых не надо трогать старые, которые уже работают, во вторых перечисление всех поддоменов в одном сертификате показывает всем какие у вас есть поддомены просто прочитав ваш сертификат, это конечно паранойя, но все же...
И да, все ручками.

Let’s encrypt разрешает один домен на 1 почту, значит ли это, что для каждого поддомена нужна новая почта?

[Brull]

email указывается для регистрации аккаунта, какие есть ограничения https://letsencrypt.org/docs/rate-limits/,

Судя по всему ограничения только по времени (к примеру: You can create a maximum of 300 New Orders per account per 3 hours)

[Amoureux]

7 часов назад, Brull сказал:

Либо вы удаляете старый сертификат и создаете новый с добавлением новых поддоменов, либо создаете новый сертификат только для поддомена, оба варианта приемлемы.

Я стараюсь делать новый сертификат для каждого поддомена, во первых не надо трогать старые, которые уже работают, во вторых перечисление всех поддоменов в одном сертификате показывает всем какие у вас есть поддомены просто прочитав ваш сертификат, это конечно паранойя, но все же...

И да, все ручками.

Поэтому лучше настроить nginx и cerbot в docker, и получать wildcard сертификат. Его действие будет автоматически распространятся на любые поддомены, которые в свою очередь светиться не будут.

Edited July 24, 2023 by Amoureux

[unlikable]

Поэтому лучше настроить nginx и cerbot в docker, и получать wildcard сертификат. Его действие будет автоматически распространятся на любые поддомены, которые в свою очередь светиться не будут.

Настроил Nginx proxy manager по этой инструкции https://www.wundertech.net/nginx-proxy-manager-synology-nas-setup-instructions/ добавил прокси и получил на них сертификаты, но почему то не работает. Есть ли у вас ссылка на рабочий алгоритм установки? Использовали ли ещё одну сеть, так как пишут, что 80 и 443 порты знаняты у synology

[Brull]

В этой инструкции используется macvlan, потому у прокси будет другой адрес в локальной сети отличный от адреса сино, и с портами напутано. Нет смысла менять порты у контейнера , он же на отдельном адресе и не будет конфликтовать с портами сино, оставляйте 80 и 443 и на роутере пробрасывайте порты на этот "другой" адрес на 80 и 443 порты.

[unlikable]

В этой инструкции используется macvlan, потому у прокси будет другой адрес в локальной сети отличный от адреса сино, и с портами напутано. Нет смысла менять порты у контейнера , он же на отдельном адресе и не будет конфликтовать с портами сино, оставляйте 80 и 443 и на роутере пробрасывайте порты на этот "другой" адрес на 80 и 443 порты.

То есть «нерабочесть» этого мануала может быть в этой замене портов на 8080 и еще какой то не помню для 443? Гораздо проще установка и настройка по этой ссылке, но там мне кажется из за конфликта со штатным не работает точно https://mariushosting.com/how-to-install-nginx-proxy-manager-on-your-synology-nas/

[Brull]

в этой инструкции еще проще, там докер светит наружу другими портами (слева от ":") и конфликта не будет

Цитата

-p 8341:80 \

-p 81:81 \

-p 8766:443 \

вот по ним и будет доступ и на роутере на них надо переадресацию делать, порты от балды - можете поменять на свои, НО для DSM делать отдельно переадресацию на порты 5000 и 5001 или заворачивать DSM уже через прокси на другой поддомен

[unlikable]

Но если я правильно перевел замечание «If you are using Synology and let’s encrypt certificate via Control Panel / Security / Certificate Nginx Proxy Manager will not work. If you are using Synology Web Station package Nginx Proxy Manager will not work.»
Если использовать сертификат, что дается сино по умолчанию, то работать выдача сертификата в Nginx не будет? Веб сервер я уже удалил

[Arabezar]

Ну так в результате-то удалось запустить приложение в докере извне (у кого было с проблемами)? У меня при указании обратного прокси так и выдаёт ошибку. Куда копать-то?

COPS хоть работает без бубнов при пробросе в Web-Station, а inpx-web ваще "не алё". (((

Edited November 25, 2023 by Arabezar

[Vincent666]

12 hours ago, Arabezar said:

COPS хоть работает без бубнов при пробросе в Web-Station, а inpx-web ваще "не алё". (((

Не понятно что именно у вас не алё, у меня два контейнера с inpx работают без проблем через прокси.

В Web-Station по сути делается все то же самое по аналогии.

Edited November 25, 2023 by Vincent666

[Arabezar]

16 minutes ago, Vincent666 said:

Не понятно что именно у вас не алё

В локалке по адресу http://192.168.1.221:12380 всё прекрасно работает, откуда я делаю вывод, что с докером всё в порядке.

Spoiler

 

HSTS выключать пробовал - не помогает.

 

Spoiler

... хотя все остальные приложения/порталы работают прекрасно.

Вот и не знаю, что ещё копнуть, чтобы починить.

 

P.S. Wildcard сертификат от Lets Encrypt действительный, на остальных порталах проблем не вызывает.

Edited November 25, 2023 by Arabezar

[Vincent666]

8 minutes ago, Arabezar said:

Вот и не знаю, что ещё копнуть, чтобы починить.

WebSocket включен?

[Arabezar]

1 hour ago, Vincent666 said:

WebSocket включен

Только что опять перечитал всю ветку, не понял, сорри, как его включать (((

 

Upd: отбой, нашёл на просторах Инета, как включить WebSockets для Reverse Proxy.

Upd2: В реальности, всё совсем просто, - в хидерах даже шаблон уже готовый есть, самому ничего выдумывать не надо... просто Создать WebSocket.

Upd3: Ура!!! Всё заработало!!! Благодарю!!!

На самом деле, понять, что это из-за WebSockets, тоже было бы не сложно, если б я сразу запустил инструменты разработки в Опере и посмотрел на ошибку оттуда... там красным по чёрному написано, что ошибка WebSockets.

Edited November 25, 2023 by Arabezar