Телеграмм чат группы iobroker страница 6457

14:41пожаловаться #1

AA

server {

    listen 8082 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/site.ru/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/site.ru/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

    server_name next.site.ru www.site.ru;

    access_log  /var/log/nginx/access_upstreams.log upstr;

    location ~ /\.ht {
        deny all;
    }

    location / {
        auth_basic "closed site";
        auth_basic_user_file htpasswd;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_pass http://10.0.0.2:8082;
    }
}

В этом конфиге сертификаты получаемые сертботом будут работать только для локальных нужд или как для удалённых иобов тоже? next.site.ru это для имя для 10.0.0.2? Если да то почему "proxy_pass http://" а не "proxy_pass https://"?

14:55пожаловаться #2

B

В этом конфиге сертификаты получаемые сертботом будут работать только для локальных нужд или как для удалённых иобов тоже? next.site.ru это для имя для 10.0.0.2? Если да то почему "proxy_pass http://" а не "proxy_pass https://"?

В этом конфиге сертификаты будут работать на участке клиент-nginx. На участке nginx-iobroker сертификаты не используются

14:56пожаловаться #3

AA

В этом конфиге сертификаты будут работать на участке клиент-nginx. На участке nginx-iobroker сертификаты не используются

Клиент - это через Инет который?

14:58пожаловаться #4

B

Клиент - это через Инет который?

Это пофиг откуда, зависит от днс, адресов и кучи других настроек. Тот, кто каким то образом запросил nginx

15:00пожаловаться #5

AA

В этом конфиге сертификаты будут работать на участке клиент-nginx. На участке nginx-iobroker сертификаты не используются

Тогда на iob-е надо штатными средствами letsencrypt настраивать? На каком порту letsencrypt на иобе висит в случае твоего конфига?

15:01пожаловаться #6

B

Тогда на iob-е надо штатными средствами letsencrypt настраивать? На каком порту letsencrypt на иобе висит в случае твоего конфига?

Зачем? С иобом общается только nginx в моем варианте и только по http

15:02пожаловаться #7

AA

Зачем? С иобом общается только nginx в моем варианте и только по http

Как инет-юзер до Иоба будет доступаться? До шлюза по https, а далее по http?

15:03пожаловаться #8

AA

трафик в чистом виде уже пойдёт?

15:04пожаловаться #9

B

Как инет-юзер до Иоба будет доступаться? До шлюза по https, а далее по http?

Да, до nginx по https, тот делает оффлоад и сам дальше отправляет запрос брокеру. Блокер отвечает в http, ответ приходит на nginx, тот навешивает https и отправляет клиенту

15:05пожаловаться #10

AA

Да, до nginx по https, тот делает оффлоад и сам дальше отправляет запрос брокеру. Блокер отвечает в http, ответ приходит на nginx, тот навешивает https и отправляет клиенту

на участке шлюз-иоброкер траффик в http значит...Вся надежда если есть vpn. Ладно.. А на иобе получается letsencrypt вобще не нужен?

Алексей Кравец... in ioBroker smarthome

15:06пожаловаться #11

АК

на участке шлюз-иоброкер траффик в http значит...Вся надежда если есть vpn. Ладно.. А на иобе получается letsencrypt вобще не нужен?

В такой схеме нет. Да и схемы такие появились, после того как родной letsencrypt сломался

15:08пожаловаться #12

AA

Алексей Кравец

В такой схеме нет. Да и схемы такие появились, после того как родной letsencrypt сломался

ясно. спасибо... Как-то дискомфортно иоб без https выставлять...

15:11пожаловаться #13

B

на участке шлюз-иоброкер траффик в http значит...Вся надежда если есть vpn. Ладно.. А на иобе получается letsencrypt вобще не нужен?

Да, на этом участке хттп. Да, впн с шифрованием достаточно для защиты трафика. На иобе хттпс не нужен. Да и не дело приложению в себе терминировать хттпс, это задача балансировщика

Алексей Кравец... in ioBroker smarthome

15:12пожаловаться #14

АК

ясно. спасибо... Как-то дискомфортно иоб без https выставлять...

Ну так nginx должен быть так же в доверенной зоне, совместно с iob. Либо дома, если есть возможность, либо vpn, если он висит на vps

15:13пожаловаться #15

AA

Да, на этом участке хттп. Да, впн с шифрованием достаточно для защиты трафика. На иобе хттпс не нужен. Да и не дело приложению в себе терминировать хттпс, это задача балансировщика

спасибо, но даже в локалке http уже не есть гуд.

15:14пожаловаться #16

B

спасибо, но даже в локалке http уже не есть гуд.

Почему? От кого вы прячете трафик внутри домашней сети?

15:15пожаловаться #17

AS

Alex S in ioBroker smarthome

от троянов

15:33пожаловаться #18

B

Alex S

от троянов

От Троянов на чем? На компе, с которого вы работаете с брокером? Так они не трафик парсят а ваш ввод и формы в браузере. На устройстве, с которого вы в брокер не ходите? Трафик оно не получает. Да и троян должен быть целевой. Чего у вас такого в брокере есть, чтоб таким сложным и изощренным способом это вытаскивать?

15:41пожаловаться #19

AS

Alex S in ioBroker smarthome

ну мало ли какие требования к безопасности..