Ik zie het even niet en moet er maar even voor gaan zitten. Intern benader ik mijn NAS via een eigen IPadres (192.168.X.X) met daar achter een : en een getal. Dat heeft iemand voor mij gedaan omdat dit veiliger zou zijn. Deze heeft ook een portforwarding aangemaakt in mijn router zodat ik met MijnHuisIP:eennummer doorverwezen ben naar het IP adres van mijn NAS met daar achter :(eennummer). IP adres van mijn router begint niet met 45 maar ook gewoon met 192.168.X.X (of zeg ik nu iets heel stoms?).
Ik had eigenlijk gehoopt dat het ook zo makkelijk was met mijn domeinnaam en dan forwards naar MijnHuisIPvanFreedom:eennummer en dat ik dan op mijn NAS zit. Maar het tolt me nu en begrijp dat het niet zo makkelijk gaat.
Merk dat ik in mijn NAS geen routerconfigiratie aan heb staan met poorten 80 en/of 443. Dus ik moet dat nog even uitzoeken. Wel heel erg bedankt en ik hoop dat ik er uit ga komen en dat het me gaat lukken.
Dank dank Kevin voor het geduld dat je met me hebt. Ik denk dat ik het wel steeds meer en meer begin te begrijpen en merk dus dat ik die poorten gewoon op 80 en 443 kan zetten. In het begin stonden ze op 192.168.178.X.X:5300 (als ik me niet vergis) en voor https op :5301
Heb me altijd laten vertellen dat het veiliger is om dan zelf iets aan te maken dan zo te laten. En dan mijn HuisFreedom IP door te zetten naar de NASIP. Ik hoef dat dus niet te doen en gewoon 80 en 443 open te zetten. Ik begrijp je eerste deel over Freedom:443 nu wel een beetje
Ik ga er morgen mee verder, moet zo gaan eten en dan werken dus kan ik er nu niet mee door. Wel jammer, denk het nu beetje te gaan begrijpen en dan moet ik er mee stoppen. Ga er morgen mee aan de slag en kijken of het me lukt. I Hope en dan het doorsturen van mijn (SUB)domein.mijndomein.nl - eens kijken of dat gaat lukken
Kijk wel even welke adressen er al in je netwerk gebruikt worden. Want het eerste stuk na de 2a10:3781:abcd: moet wel hetzelfde zijn als andere systemen in je netwerk.
Want de fritzbox geeft standaard maar 1 /64 door aan het interne netwerk (als ik het goed onthouden heb).
Wat je met een reverse proxy kan bereiken is het volgende:
Op een adres (IPv4 bv.) laat je all hostnames (voor HTTP of ook andere poorten aanmelden).
Ik run thuis tbv. mensen die alleen IPv4 hebben een paar Nextcloud instances achter een adres.
Een voor een vereniging, een voor mān werk, een voor een kennis, een Beta test site en mān prive omgeving.
Voor document editing een CollaBorra / Only Office server. (Allen draaien in LXD containers). Daarnaast een piwigo site, een website voor een broer, en nog wat diverse proefjes.
Elke service heeft zān eigen hostname. (xxxx.example.nl voor domain example.nl).
Iedereen komt als eerste een HAproxy tegen:
Die haproxy zorgt voor een publieke TLS terminatie met certificaat van letsencrypt (indien nodig) bij servers die een intern .local certificaat voeren.
Op basis van de hostname wordt in eerste instantie op basis van SNI veld in TLS een sessie naar een achterliggende server doorgegeven (die heeft dan ook het juiste letsencrypt certificaat). Voor die gevallen waar de backend dat niet kan of als er geen SNI geleverd wordt dan wordt de TLS op de HAProxy getermineerd en wordt op basis van het HTTP: Host header het werk verdeelt naar de juiste service.
Kortom:
HAproxy krijgt al het verkeer en verdeelt het naar specifieke systemen in het netwerk erachter op basis van hostname.
In DNS ieder service heeft zān eigen naam met allemaal hetzelfde adres.
Haproxy (recente versies V2+) is behoorlijk efficient, het kan op een RPi draaien, al zal bij een behoorlijke bandbreedte gebruik de RPi beperkt zijn door zān hardware layout.
Poorten kiezen om services op een andere poort te laten lopen is vrij zinloos. Dat gaat er vanuit dat kwaadwillenden gericht op poort 22 gaan zoeken in de hoop een SSH server aan te treffen. Het moderne scannen is gewoon ALLE 64K poorten scannen en als er een respons komt deze analyseren wat er achter zou kunnen zitten.
Veel protocollen zijn goed herkenbaar aan de hand van een eerste pakket SSH, TLS (bij TLS evt. HTTP, SMTP ā¦)
Een andere misvatting is dat dat poorten vanuit een adres of achter elkaar gescanned worden. Er zijn er een aantal die maar een poll / 20 minuten doen voor een ārandomā poort. en als je het een beetje volgt dan blijkt dat een organisatie een compleet IPv6 /48 prefix net gebruikt. Een ander heeft een /22 netwerk en wisselt de poorten ook af.
Dus een poort wordt toch ontdekt, dus waarom zou je het voor jezelf moeilijk maken. Het is beter om te investeren in adequate beveiliging.
Voor jouw idee, de meeste zaken op internet werken ook heel goed ZONDER DNS. DNS is een voorziening om mensen te ondersteunen met een āmeerā herkenbare vorm omdat mensen in symbolen denken en niet in nummer reeksen.
Je zult IP netwerk beheerders snel herkennen omdat die juist het omgekeerde hebben
Hoewel IPv6 ze mogelijk wat stress bezorgt.
Hieronder een scanreport voor een selectie van poorten.
Scan report
For 2021-08-14 you submitted 3556 packets from 1658 sources hitting 1 targets.
Ja, dat kan werken, probeer als reverse proxy bij voorkeur HAProxy, die is een stuk efficienter dan anderen voor proxy verkeer en doet dat meestal ook veel beter.
Nginx kan het ook, maar is wat beperkter in het repertoire. Apache zou ik niet aan beginnen. (Nginx loopt qua performance overigens cirkels om Apache heen).
Let op dat sommige websites de poorten overnemen waarmee connectie gemaakt wordt terwijl de buiten wacht gewoon de naam zonder poort moet gebruiken. Dus ipv een andere poort gebruik alternatieve adressen op de loopback adapter. 127.0.1.1, 127.0.2.1, 127.0.3.1ā¦ met als poort toch 443, 80 gebonden op IP adres.
Dat is niet helemaal juist, want je huisaansluiting heeft een /48 en de abcd:efg:hijk:1 is een /64.
Blijkbaar gebruikt de fritzbox standaard die 1 voor de IPv6 adressen die hij uitdeelt, maar je hebt dus nog 0xfffe van dat soort netwerken tot je beschikking
Als je goed kijkt, dan komt ABCD:EFGH:IJKL:MNOP niet helemaal overeen. Want het MAC-adres is alleen maar in ABCD:EF [1] en KL:MNOP te herkennen en staat er voor GH:IJ altijd ff:fe.
[1] dit is ook niet helemaal waar, want er wordt nog 1 bit geflipt.
Het is me wel gelukt om via mijn huis IP direct op mijn NAS te komen. Echter, het lukt me nog niet om een (sub)domein aan te maken en die door te sturen naar mijn NAS. Dit kan ik volgens mij niet aanmaken via het systeem van Freedom (en antwoord op mijn mail heb ik nog altijd niet mogen ontvangen).
Had ook gezien, via een webpagina, wanneer ik mijn domein.nl verwijs naar mijn THUISIP dat mensen dit ook kunnen zien. Maar dat zal altijd wel zo zijn waarschijnlijk. Zou anders niet weten hoe ik die zou moeten verbergen. En dan nog de (sub)domein, die zou ik ook nog wel willen kunnen aanmaken.
Ehm HAproxy kan ook uitstekend enkelvoudig op een systeem gebruikt worden.
Een High Availability cluster opzetten is inderdaad van een andere ordeā¦, maar heb je dan ook een dubbele netwerk aansluiting? en je web servers in clusters en dubbel uitgevoerd, een dubbele voeding, incusief UPS / generator set etc?.. zo nee.
Dan is het veel eenvoudiger, om apt-get install haproxy uit te voeren en je entries op te nemen in /etc/haproxy.conf of /etc/haproxy/haproxy.conf.
HAproxy zelf is eenvoudiger te configureren dan Apache. of:
Digital Ocean heeft redelijk duidelijke HOWTOās
HAproxy is zo gebouwd dat het heel eenvoudige in een failover concept of active/active clusters KAN werken. Dat wil niet zeggen dat je het daar dan ook voor MOET gebruiken.
Je kan met Office uitstekend zakelijke documenten maken ā¦ is daarom niet voor prive gebruik?.. Het is voor de zakelijke markt ontwikkeld, dus strict genomen is prive gebruik een hack.
Zo, ik heb eindelijk bericht van Freedom over mijn DNS vraag (12 augustus verzonden). Daarom kreeg ik het volgende:
De manier om een subdomein aan te maken die je beschrijft klopt helemaal maar er is eea stuk in de DNS editor en dat gaat allemaal gefixt worden in de komende update van http://mijn.freedom.nl/. Ik verwacht/hoop dat we dit na het weekend allemaal hebben kunnen uitrollen dus ik zou je willen vragen het na dit weekend nog eens te proberen.
Ik ben ook een soort leek qua DNS. Maar heb onlangs een certificaat van Letās Encrypt aan mijn eigen NAS gekoppeld via Synology. Weet dus niet of dit in jouw straatje past.
Ik had vele bronnen geraadpleegd en kwam hier (deels) op uit. Maar ik heb nog geen eigen mailserver. Dat kan nog altijd. Tegen die tijd hoop ik dan meer kennis vergaard te hebben.
