Есть некоторые вопросы по настройке. Может тут обитают, кто помог бы приоткрыть занавесу реализации несложных задач? Или ссылкой на хороший ТГ-канал/форум со знающими людьми.
Не, на паблик не хочу вываливать задачу Да и честно, пока не уверен в том, что надо на Микротике это делать.
Доброго всем субботнего вечера! ВОпрос, не пойму что смотреть. ВОбщем заменил почивший Микротик AC2 на AX3 по совету мудрых товарищей в соседней теме про мою аварию Всё отлично, разботает , настраивается в своей 7 оси без проблем, сервера завелись вроде внутри - кроме скорости, по эзернету! Гружу вверх видео, в ютуб, или вниз гружу, даже в локалке - скорость и вверх и вниз держится около 100Мбит, как будто лочится. Порты гигабитные у меня, везде пишет.. Техподдержка подтвердила, что лока нет, полная скорость стоит.. ОБычно, на том же кабеле и на старом роутере - было 400-500Мбит, в зависимости от файлов. Я проверяю вайфай - на телефоне 300-400Мбит Спидтестом. То есть они и правда не лочат! Но - куда смотреть? Ограничения смотрю - стояло Only hardware Qeueu, я пробовал и ethernet default - без разницы Куда смотреть? Файервол пока дефолтные правила. Не должны они резать...по идее? Если надо - сброшу и настрою заново, но куда смотреть?!
Вопрос решен, практически, роутер исправен, на другом компе через патч- корд 6е штатная скорость500 Мбит. Изумительно работает! Через несколько дней тестер будет, найду дефектный участок, и вероятно заменю кабель. Просто не подумал об этом...слона не приметил
Доброго всем дня! Я не соображу, подскажите, плиз! Есть несколько машинок за Микротиком Один сервер, с облаком и несколькими техническими сайтами был долгое время один, я порты на него пробросил и норм Пару дней назад решил ещё на мини-pc поднять несколько сайтов 80 и 443 порты кинул на него, остальные порты остались на облаке, вроде заработало И вдруг выяснилось, что для облака , пары сервисов - тоже эти 80, 443 порты нужны...и теперь пытается кидать на новый сервер, что неправильный сертификат и так далее... Как проброс сделать по доменному имени? Не соображу, не делал так ранее! Хочу попробовать Static DNS, но не соображу... Там же очередность обработки правил важна...
ставьте отдельным сервисом traefik или nginx proxy manager если не охота конф файлы править, на него заворачиваете порты а дальше редиректы на нужные сервисы по доменному имени.
Обратный прокси вам поможет. Для таких небольших задач можно завести в контейнере. Веб сервисы развешиваете на любые порты по желанию, netmap настраивете на обратный прокси, обратный прокси - на адреса и порты сервисов. Обратный прокси парсит url запроса, и в зависимости от него отдает контент нужного сервиса. В качестве обратного прокси я бы порекомендовал nginx. Вот примерный конфиг для одного имени: server { listen 80; server_name redmine.site.net www.redmine.site.net; # Перенаправление с HTTP на HTTPS return 301 https://$host$request_uri; } server { listen 443 ssl; server_name redmine.site.net www.redmine.site.net; # Путь к вашим SSL-сертификатам и ключам ssl_certificate /path/to/your/fullchain.pem; ssl_certificate_key /path/to/your/privkey.pem; # Настройки SSL ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; location / { proxy_pass http://redmine:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ни разу не настраивал контейнеры на самом роутере, нор вроде как можно! Mikrotik nginx reverse proxy | Artur Akmalov
О, спасибо - вроде норм, буду пробовать! Там ещё вопрос в сертификатах, дефолтный сервер начал свой сертификат подсовывать, на все сайты! На выходном займусь!
Сделал, работает, норм! Спасибо! Решение с контейнером - годное! Пока лишь 80 порт идёт, 443 буду делать на выходных Пока я не понял, какие сертификаты нужны Сертификаты самих сайтов/серверов? Сайты физически на других машинках! У меня раньше всегда где Нгинкс, там и сайты. Впервые делаю так, что выделенный сервер для Нгинкса, и другие машинки, даже в другой подсети..
Если у тебя есть один домен на все сервисы, а сами сервисы поддоменами оформлены, то можно wildcard сертификат подкинуть nginx (ну или что там обратным прокси работает), а уже он будет редиректить на сервисы, причем на http. Удобно - не нужно морочить голову с выпуском отдельных сертификатов или настройкой отдельных сервисов на https, поддержанием актуальности настроек и тп.
Нет, несколько доменов, порознь так сказать - оно настроено и работает, сертификаты и прочее И хотелось бы , чтобы 443 Нгинксом просто прокидывало, как в роутере, без шифрования- дешифрации..чтобы на этом Нгинксе, роутерном - не подкидывать все сертификаты, для каждого домена. Их раз в три мес автообновлять, как обычно, точно удобнее делать на том сервере/ серверах, где собственно домены находятся, где местный нгинкс всё делает
А у меня вот такой микротик с 2020 года. Я бы его хрен настроил сам. Благо друг в Израиле специалист высшего ранга настроил его так, что даже мой адрес пинговать нифига нельзя, и заблочил многие порты от ДДОС атак что были в те времена на мои игровые сервера. Роутер супер, сейчас поддерживает два провайдера одновременно в случае атаки, игроки автоматом перекидываются на свободного провайдера.
Если это без сарказма, то попробуй 88.87.69.183 Как то так Правда пора прошивку обновить, но пока 3 месяца без рестарта пашет
Да я верю, это без сарказма, но как бы про себя, типа "Ай-да Штирлиц" ))) просто у меня тоже есть микротики и их внешние адреса тоже не пингуются, или пингуются когда это мне нужно, задача оказалась решаемая.
Самое сложное в микротике - это то что его packet flow представлен в трех версиях, и если случайно привыкнуть к первым двум упрощенным, то потом можно сломать голову когда вдруг настраиваешь чтото, для чего этих абстракций недостаточно. Например - если захотеть в разделе mangle зароутить определенный трафик в определенном направлении, то годится упрощенная схема. А если нужно чтобы входящие на некий внешний интерфейс соединения ртутились определенным образом, например уходили через тот интерфейс на который пришли, то уже не все так просто. А если они еще и dst-nat'ятся, то вообще ничего не заработает по упрощенным схемам. Но благо прекрасная документация есть. Да вообще микротик лишен недостатоков, как УАЗ таблетка. Такие скрины не очень рационально публиковать.
Понял, вижу, отлично! Но - как идёт проброс, NAT на эти сервера? Они на разных машинках подняты? По портам, по доменным адресам,...? Я через NAT и Статик DNS не смог переправить, при обращении по доменным адресам на одни и те же 80, 443 порты. С помощью отдельного Nginx на том же Микротике пока сделал для 80 порта, но застопорился теперь на 443, нужны ли сертификаты прямо на Микротике?! Можно попробовать, наверное поэкспериментировать надо Но если кто знает, как правильно - подскажите, плиз!!
Сертификаты это часть протокола https, у тебя этот трафик генерируют сервисы. Причем сама суть https в том что у него один источник. Случаи когда есть еще какие то узлы которые меняют https трафик на пути к назначению, это исключительные случаи. Или проблемы безопасности или правила внутрисетевой политики направленной на контроль содержимого. Тоесть с обратной целью по отношению к протоколу https. У тебя судя по всему ничего такого нет. Поэтому сертификат должен быть только на какомто то одном узле обработки трафика. Или сам вебсервер(ы) сервисов твоих, или веб прокси. У каждого варианта свои плюсы. Если, к примеру, тебе нужно чтобы трафик подписанный одним сертификатом - расшифровывался и зашифровывался как бы от лица другого субъекта с другим сертификатом, тогда нужно и у сервиса чтобы был сертификат и у какого то другого узла через который проходит этот трафик (не в курсе умеет ли такой финт ушами делать nginx но вообще функционал не уникальный). Если же нужно просто предоставить через один белый адрес к нескольким сервисам на разных доменах\поддоменах, то сертификат нужно в каком то одном месте применить.
Ок, вроде понимаю! Спасибо! Мне достаточно в конце цепочки, на конкретном сервере, в его Nginx предъявить, отлично!