Tryb proxy (poprawne certyfiakty SSL, Let's Encrypt)

Moderator: fracz

Awatar użytkownika
PuteR
Posty: 1421
Rejestracja: śr gru 06, 2017 10:07 am

lesny8 jak mówiłem tak zrobiłem :P noc zarwana a i tak coś nie chce działać chociaż wszystko zrobiłem jak wcześniej. Jak wchodzę na domene clouda to wywala taki komunikat

Kod: Zaznacz cały

Połączenie nie jest poufne
Ten serwer nie mógł udowodnić, że należy do supla.noip.pl. Jego certyfikat pochodzi z suplascripts.noip.pl. Może to być spowodowane błędną konfiguracją lub przechwyceniem połączenia przez atakującego.

Nie można kontynuować, ponieważ operator witryny zażądał zwiększenia poziomu zabezpieczeń dla tej domeny.
na suplascriptrs wchodzi ok ale żeby tam się zalogować i tak najpierw muszę na clouda.

Wydaje mi się że wszystko startuje prawidłowo, tak wygląda docker ps

Kod: Zaznacz cały

     pi@raspberrypi:~ $ docker ps
CONTAINER ID        IMAGE                                                   COMMAND                  CREATED             STATUS              PORTS                                      NAMES
e501782e3f55        1f81cecf285d                                            "/bin/sh -c 'rm -rf …"   7 minutes ago       Up 7 minutes                                                   jolly_villani
07154f6992e3        suplascripts_suplascripts                               "docker-php-entrypoi…"   13 minutes ago      Up 13 minutes       80/tcp                                     suplascripts
3ed7b90fc331        supla/supla-server:arm32v7                              "/usr/bin/server-ent…"   28 minutes ago      Up 20 minutes       0.0.0.0:2015-2016->2015-2016/tcp           supla-server
53dc9bf09e70        supla/supla-cloud:arm32v7                               "docker-php-entrypoi…"   29 minutes ago      Up 21 minutes       80/tcp                                     supla-cloud
5beb426614ad        hypriot/rpi-mysql:5.5                                   "/entrypoint.sh mysq…"   29 minutes ago      Up 20 minutes       3306/tcp                                   supla-db
90b9dbccdc6c        hypriot/rpi-mysql:5.5                                   "/entrypoint.sh mysq…"   About an hour ago   Up 13 minutes       3306/tcp                                   suplascripts-db
ccb8925f789a        nginx                                                   "nginx -g 'daemon of…"   2 hours ago         Up 20 minutes       0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp   nginx-web
e3739bcdc8ea        wouterds/rpi-docker-letsencrypt-nginx-proxy-companion   "/bin/bash /app/entr…"   2 hours ago         Up 20 minutes                                                  nginx-letsencrypt
5444646b35c3        wouterds/rpi-docker-gen                                 "/usr/local/bin/dock…"   2 hours ago         Up 21 minutes                                                  nginx-gen
 
Żeby było ciekawiej to wygląda na to że urządzenia się łącza do clouda.
Awatar użytkownika
lesny8
Posty: 2808
Rejestracja: pn gru 11, 2017 9:43 pm

Sprawdź dokładnie cze w .env podałeś dobrą, ta samą subdomenę która masz w DDNS skonfigurowaną. Wygląda jakby tam był błąd.
Wcześniej możesz zajrzeć w logi. Nie zaszkodzi potwierdzić wyjątek bezpieczeństwa i zalogować się do cloud, żeby zobaczyć czy urządzenia się zarejestrowały.
Aha i jeszcze jedno. Miałem sytuację że skrypty otwierały się pod supdomena cloud a cloud pod subdomena skryptów. Zatrzymanie i ponowne uruchomienie nginx-web załatwia sprawę.
Czekam na kolejne Supla Offline Party 👍
Awatar użytkownika
PuteR
Posty: 1421
Rejestracja: śr gru 06, 2017 10:07 am

lesny8 pisze: sob sty 26, 2019 8:19 am Sprawdź dokładnie cze w .env podałeś dobrą, ta samą subdomenę która masz w DDNS skonfigurowaną. Wygląda jakby tam był błąd.
Wcześniej możesz zajrzeć w logi. Nie zaszkodzi potwierdzić wyjątek bezpieczeństwa i zalogować się do cloud, żeby zobaczyć czy urządzenia się zarejestrowały.
Aha i jeszcze jedno. Miałem sytuację że skrypty otwierały się pod supdomena cloud a cloud pod subdomena skryptów. Zatrzymanie i ponowne uruchomienie nginx-web załatwia sprawę.
Jak mam potwierdzić wyjątek bezpieczeństwa bo na żadnej z przeglądarek tego nie widzę.

Domeny się zgadzają, subodemana suplascripts prawidłowo kieruje mnie na scripts tylko ten cloud nie chce odpalić?? Wcześniej nie miałem z tym problemu, może coś usunąć i jeszcze raz zainstalować??
Załączniki
2.JPG
2.JPG (34.93 KiB) Przejrzano 2996 razy
Awatar użytkownika
fracz
Posty: 2256
Rejestracja: pt paź 28, 2016 10:56 pm
Lokalizacja: Kraków

PuteR pisze: sob sty 26, 2019 8:57 am Jak mam potwierdzić wyjątek bezpieczeństwa bo na żadnej z przeglądarek tego nie widzę.
W Chrome na stronie alertu możesz wstukać na klawiaturze kod "badidea" i Cię wpuści bez certyfikatów.

Domyślna opcja "zatwierdź wyjątek bezpieczeństwa" nie jest dostępna bo w konfiguracji proxy jest włączone HSTS. Przez to gdy przeglądarka już raz na danej domenie widziała zielony certyfikat to przez kolejne kilka miesięcy uznaje że jego brak jest próbą ataku na użytkownika.
Awatar użytkownika
PuteR
Posty: 1421
Rejestracja: śr gru 06, 2017 10:07 am

Ok, po którymś restarcie z rzędu w końcu zaskoczyło i na razie działa jak należy (może restartowałem w złej kolejności). Mam nadzieję że będzie to działało :D.
Awatar użytkownika
lesny8
Posty: 2808
Rejestracja: pn gru 11, 2017 9:43 pm

Sprawdź crone-a, czy masz dwa wpisy z prawidłowymi parametrami.

Kod: Zaznacz cały

ping suplascripts73.noip.pl
PING suplascripts73.noip.pl (178.42.207.176) 56(84) bytes of data.
64 bytes from afrz176.neoplus.adsl.tpnet.pl (178.42.207.176): icmp_seq=1 ttl=247 time=30.1 ms

ping supla73.noip.pl
PING supla73.noip.pl (83.9.107.210) 56(84) bytes of data.
64 bytes from acbj210.neoplus.adsl.tpnet.pl (83.9.107.210): icmp_seq=1 ttl=56 time=38.4 ms
Pingi wracają z dwóch różnych adresów. Oznacza to, że do DDNS nie trafiają dwa pakiety i potem ot nginx-gen Let'sEncrypt dostaje prośbę o wystawienie certyfikatu, weryfikuje i klops, bo pod adresem na który wskazuje domena nie ma tej strony. Cert nie zostaje wystawiony, pobrany i tym samym w przeglądarce masz taki komunikat.
cloud.jpg
cloud.jpg (24.87 KiB) Przejrzano 2966 razy
Cloud działa, ale suplascripts już nie, czyli odwrotnie niż pisałeś wcześniej. Nginx-web chyba też odwrotnie linkował wcześniej, tak jak kiedyś u mnie.

Edit:
Teraz jest ok.
Czekam na kolejne Supla Offline Party 👍
Awatar użytkownika
PuteR
Posty: 1421
Rejestracja: śr gru 06, 2017 10:07 am

Tak coś tam porsetowalem i aktualnie działa prawidłowo. Dziękuję za pomoc.
bartekk942
Posty: 16
Rejestracja: pt maja 04, 2018 7:33 pm

Cześć, czy odpalał ktoś proxy w duecie z apachem?
Awatar użytkownika
fracz
Posty: 2256
Rejestracja: pt paź 28, 2016 10:56 pm
Lokalizacja: Kraków

Nie dogadają się. Jeśli chcesz mieć apache na hoście, musisz postawić suplę standalone na niedomyślnym porcie i wykorzystać mod_proxy do odpowiedniego przekierowania wirtualnego hosta.
myrcin
Posty: 55
Rejestracja: pt cze 07, 2019 9:08 am

Prześledziłem cały ten wątek, starałem się skorzystać z rad, które zostały już tutaj udzielone jednak nie udało mi się uruchomić Supla w trybie proxy. Moja konfiguracja wygląda następująco:

Serwer Ubuntu 16.04 z zainstalowanym Dockerem. Serwer ten jest maszyną wirtualną w chmurze Azure.
Serwer ma przypisany prywatny adres IP oraz Publiczny adres IP dla którego utworzyłem rekord DNS s1.domena.com
Na serwerze bezproblemowo odpaliłem Supla bez proxy. Później chciałem to zmienić na instalację z proxy.
W chwili obecnej nie mam jeszcze skryptów bo chciałbym najpierw uruchomić samą Suplę z proxy.

Zgodnie z instrukcją zainstalowałem proxy. W pliku .env proxy najpierw wpisałem publiczny adres IP jako external access interface ale to nie zadziałało. Wpisałem więc adres prywatny i proxy wystartowało.

Zastopowałem Supla i zgodnie z instrukcją zmieniłem plik yml na ten z proxy. W .env wpisałem CLOUD_DOMAIN=s1.domena.com oraz ADMIN_EMAIL. Wystartowałem Supla i teraz kiedy podłączę się do https://s1.domena.com (poprawnie DNS zwraca adres publiczny) wyświetla mi się komunikat 500 Internal Server Error a pod spodem: nginx/1.17.4.

Restarty kontenerów itp nie pomagają. Przypuszczam, że może tu być problem z tym, że nginx próbuje dostać się do Supla odpytując DNS o s1.domena.com i dostaje w odpowiedzi publiczny adres IP, który jest NATowany na proxy. Zdaje się, że tu może się jakaś pętla robić.

O ile pracuję w IT i wiem jak działają mechanizmy proxy, nat itd itp to przy Linuxach nie pracuję więc nie wiem jak to zdiagnozować i naprawić. Bardzo proszę o pomoc w rozwiazaniu tego problemu.
ODPOWIEDZ

Wróć do „supla-docker”