Buenas tardes compañeros,
Me gustaría comentar con vosotros un reto que estoy llevando a cabo para ver si podéis echarme un cable con los problemas que me estoy encontrando.
Hasta la fecha he tenido un ecosistema con Mikrotik RB4011 + NAS Synology con docker para servicios esenciales tipo pi-hole, plex, tautulli, home assistant, etc. De estos servicios el único que tenía publicado a internet hasta la fecha era Home Assistant así que creé una regla para el Hairpin NAT en la que apuntaba el 443 directamente al puerto 8123 que era donde se ejecutaba Home Assistant (allí configuraba los certificados para SSL).
Esto ha ido creciendo y tengo otros servicios que quería exponer a internet por lo que no me ha quedado más remedio que tirar de un Reverse Proxy (NPM) y dirigir el 443 de Mikrotik a este proxy (al 1443 en este caso). Así que ya es el NPM el que este gestiona los hosts de subdominio (homeassistant.midominio.com, drive.midominio.com, plex.midominio.com, etc.) Hasta aquí todo genial porque he conseguido que una petición tanto interna como externa a mi red por HTTPS, al 443 la capture esta regla de Mikrotik y me la envíe al NPM...y éste me redirige correctamente a cada uno de estos servicios ya por HTTP.
La duda que me ha surgido ha sido al utilizar el navegador para acceder a alguno de esos servicios, ya sabemos cómo se comportan y dependiendo sus cacheados y demás a veces te lanzan por HTTP y otra por HTTPS si no les escribes el protocolo pertinente de prefijo. Entonces...empieza el bacalao.
Lo que quiero es poder redirigir las peticiones internas por HTTP a HTTPS, esto sería sencillo si hiciera la misma regla de Hairpin NAT para el 80 pero no quiero abrirlo a internet. La idea sería hacer la redirección del 80 al 1443 (NPM) sin abrir dicho puerto a internet.
Leyendo un post de @pokoyo para prescindir del Hairpin a través del DNS se me había iluminado, he tratado de configurar estos subdominios en el DNS pero cuando me redirige a la IP interna que devuelve el DNS me arranca la interfaz del Synology NAS (DSM), parece como que no hace la redirección al 1443 del NPM si no que me lo manda directamente al 80 del NAS.
No sé si lo que estoy queriendo hacer es fumarme un canuto pero la verdad es que sería muy útil y creo que no vulneraría la seguridad puesto que hacia fuera, sólo tendría el 443 expuesto.
¿Qué me estoy dejando? ¿qué posibilidades o forma correcta de hacerlo hay?
Saludos,
Me gustaría comentar con vosotros un reto que estoy llevando a cabo para ver si podéis echarme un cable con los problemas que me estoy encontrando.
Hasta la fecha he tenido un ecosistema con Mikrotik RB4011 + NAS Synology con docker para servicios esenciales tipo pi-hole, plex, tautulli, home assistant, etc. De estos servicios el único que tenía publicado a internet hasta la fecha era Home Assistant así que creé una regla para el Hairpin NAT en la que apuntaba el 443 directamente al puerto 8123 que era donde se ejecutaba Home Assistant (allí configuraba los certificados para SSL).
Esto ha ido creciendo y tengo otros servicios que quería exponer a internet por lo que no me ha quedado más remedio que tirar de un Reverse Proxy (NPM) y dirigir el 443 de Mikrotik a este proxy (al 1443 en este caso). Así que ya es el NPM el que este gestiona los hosts de subdominio (homeassistant.midominio.com, drive.midominio.com, plex.midominio.com, etc.) Hasta aquí todo genial porque he conseguido que una petición tanto interna como externa a mi red por HTTPS, al 443 la capture esta regla de Mikrotik y me la envíe al NPM...y éste me redirige correctamente a cada uno de estos servicios ya por HTTP.
La duda que me ha surgido ha sido al utilizar el navegador para acceder a alguno de esos servicios, ya sabemos cómo se comportan y dependiendo sus cacheados y demás a veces te lanzan por HTTP y otra por HTTPS si no les escribes el protocolo pertinente de prefijo. Entonces...empieza el bacalao.
Lo que quiero es poder redirigir las peticiones internas por HTTP a HTTPS, esto sería sencillo si hiciera la misma regla de Hairpin NAT para el 80 pero no quiero abrirlo a internet. La idea sería hacer la redirección del 80 al 1443 (NPM) sin abrir dicho puerto a internet.
Leyendo un post de @pokoyo para prescindir del Hairpin a través del DNS se me había iluminado, he tratado de configurar estos subdominios en el DNS pero cuando me redirige a la IP interna que devuelve el DNS me arranca la interfaz del Synology NAS (DSM), parece como que no hace la redirección al 1443 del NPM si no que me lo manda directamente al 80 del NAS.
No sé si lo que estoy queriendo hacer es fumarme un canuto pero la verdad es que sería muy útil y creo que no vulneraría la seguridad puesto que hacia fuera, sólo tendría el 443 expuesto.
¿Qué me estoy dejando? ¿qué posibilidades o forma correcta de hacerlo hay?
Saludos,
