Zmatený ohledně VPN, reverzního proxy a požadovaného SSL certifikátu

VPN
1

Dlouhodobě si hostím Vaultwarden (pod starým názvem, ale zde ho nebudu jmenovat, aby to nezpůsobilo nikomu problémy). Nastavil jsem Wireguard VPN pro přístup ke své síti, když nejsem doma. Původně jsem měl nastavený nginx reverzní proxy, ale zjistil jsem, že VPN je spolehlivější a bezpečnější.

Nyní s API změnami, nový Vaultwarden vyžaduje SSL nebo přístup přes ‘local host’. Protože nejsem ani lokální host, ani to neprovozuji přes reverzní proxy, nejsem si jistý, jaký směr zvolit.

Nemyslím si, že nastavení reverzní proxy je v mém případě nejlepší volba. Zdá se mi divné, přeposílat svůj provoz do sítě přes zabezpečený kanál, jen aby opustil proxy.

Také jsem četl o certifikátech pro self hosting, ale to mi přijde složité a nejsem si jistý, jestli to chci řešit.

Názory?

2

Proč si myslíš, že bys posílal provoz do své sítě, jen aby z ní znovu odešel?

Co se týče certifikátů, caddy se o vše postará sám, ihned. Stačí mít vlastní doménu.

3

Pořiď si doménu přes Cloudflare, nastav si Docker kontejner s Nginx Proxy Manager a použij vestavěný DNS challenge plugin pro získání wildcard certifikátu pro svou doménu. Není třeba otevírat žádné porty. Můžeš použít Pi-hole k nasměrování požadavků na tvou doménu na nginx a funguje to skvěle. Provoz nikdy neopustí tvou síť.

Upravit: Toto video to vysvětluje pěkně

4

Používám Tailscale jako VPN připojení a mohu použít reverzní proxy k použití své domény.

5

Pokud používáš OpenVPN Cloud, můžeš nastavit reverzní proxy s vlastní doménou a SSL můžeš získat sám podepsaný certifikát nebo Let’s Encrypt.

6

Reverzní proxy můžeš přistupovat přes VPN. Není nutné, aby byla dostupná na internetu.

  1. Získej skutečnou doménu.

  2. Získej wildcard certifikát pro tuto doménu.

  3. Nainstaluj certifikát do caddy nebo jiného oblíbeného reverzního proxy. Nasměruj subdoménu bitwarden.subdoma.in na svůj Vaultwarden port.

  4. Nastav svůj interní DNS server.

  5. Změň DNS na všech zařízeních.

  6. Vytvoř A záznam směřující bitwarden.subdoma.in na interní IP strojů běžících Vaultwarden.

  7. Přistupuj ke Vaultwarden bezpečně odkudkoli přes VPN přes bitwarden.subdoma.in.

7

Nepřijde provoz do sítě přes VPN, pak bude směřovat na doménu a následně interně přesměrován?

Myslím, že Caddy je ten návod, který jsem našel, ale nejsem si jistý.

8

Ne. Když přistupuješ na web, doména je první věc, která se převádí na IP. Potom navážeš spojení, a reverzní proxy ti může podle domény přesměrovat jinam.

Pokud si sám hostuješ něco jako Nginx Proxy Manager a máš Wireguard v téže LAN, tak by to vypadalo takto:

some.domain.com -> DNS -> 192.168.192.1 (Lokální IP VPN) -> NPM -> Služba