Как настроить соответствие между поддоменами и хостами в локальной сети?

Question

[ArtemKoltsov]

Имеется локальная сеть, 1 белый статический IPv4, белый IPv6 на каждое устройство провайдер не предоставляет.
Подключать более 1 IPv4 тоже не дает. К внешнему IPv4 привязан 1 домен (example.online)
В локалке стоит сервер с гипервизором (ESXi 6.7). У сервера есть 2 сетевых карты. Расположены на нем различные
сервера/виртуалки: (NAS, локальный DNS, несколько Apache и так далее).
Роутер MikroTik HAP Series
Задача: любыми способами настроить связь в глобальной сети между поддоменами и виртуальными машинами в локальной сети по TCP/UDP. Знаю, что для HTTP реализуется банально, тем же NGINX или APACHE, но тут проблема немного другая. Есть несколько серверов на гипервизоре, от которых необходимо выбросить один и тот же порт, к примеру (1234), в глобалку. Переадресовывать порт на другой через роутер не вариант, так как при подключении используется системный (1234) и использовать другой нельзя. Если кратко, нужно настроить что-то вроде обратного прокси, чтобы при подключении по sub1.example.online:1234 мы попадали к примеру на 192.168.88.2:1234, а при sub2.example.online:1234 на 192.168.88.3:1234 соответственно. Еще раз упомяну, что протокол там не HTTР, и NGINX в роли обратного прокси здесь не поможет.

Comments

[Drno]

Вроде haproxy умеет проксировать tcp на основе SNI (имени домена)

Но я не понял почему нельзя просто на микротике указать разные внешние порты>>> обычный внутренний

[ArtemKoltsov]

Drno, по поводу того, почему нельзя указать разные порты: (Переадресовывать порт на другой через роутер не вариант, так как при подключении используется системный (1234) и использовать другой нельзя. ). Если более понятно, подключаться к этим серверам можно только через специальное ПО и в нем, при подключении нельзя указать порт. Он по умолчанию встает системный, который указал разработчик. И получается, что если таких сервера 2, никак доступ к обоим из глобалки не сделать

[ArtemKoltsov]

Drno, про HAProxy не слышал, почитаю, отпишусь

[Drno]

ArtemKoltsov, оьычно просто прикладывается конфиг файл. В котором можно и порт указать. Если конечно разработчик не в бреду был))

А разрабов спросили кстати? Мож они могут подсказать

[Drno]

ArtemKoltsov, На крайняк можно взять минимальную ВПСку, и разрулить всё через е ё внешние IP. Переадресовав порты с помощью iptables
Итого
vps port 1234
iptables > mikrot 5555 port
mikrot >>> srv 5555 to 1234

[ArtemKoltsov]

Drno, поиграюсь завтра с HAProxy, если не получится, действительно буду думать по поводу способа с VPS. Если конечно никто ничего годного не предложит

[Valentin Barbolin]

Drno,

Вроде haproxy умеет проксировать tcp на основе SNI

SNI это расширение для SSL/TLS, логично что это TCP, но не всякий TCP это TLS. Мало того, SNI не обязательное поле. Если коротко, это не будет работать.

Если твое приложение использует TLS при подключении к порту 1234, то возможно у тебя есть шанс выдернуть из TLS имя домена в поле SNI и завернуть трафик на нужный сервер. Если это просто TCP - то забудь.

Можно попробовать настроить балансировку, что бы порт 1234 рандомно прокидывался на один из серверов, если соединение не успешное, то на второй север. Но это такой костыль.

Тебе нужен второй IP, вариант с VPS не плохой. Возможно твое приложение умеет работать с DNS SRV записями?

[Сергей Кузнецов]

А зачем вообще выставлять сервис в интернет? Подключайтесь к локальной сети через свой vpn и дальше каждый сервер уже будет доступен по своему локальному IP на стандартном порту.

[Valentin Barbolin]

В теории вот такая дичь может работать, но это только в теории. То есть, если клиент изначально зашел на 80 порт, то попал в ip_hash и все последующие запросы на другой порт 1234 будут лететь на тот же бекенд. И если два клиента имеют одинаковый IP, то это не будет работать.

http {
    server {
        listen 80;
        server_name one.example.com;

        location / {
            proxy_pass http://backend_http_one;
        }
    }

    server {
        listen 80;
        server_name two.example.com;

        location / {
            proxy_pass http://backend_http_two;
        }
    }
}

stream {
    upstream backend_http_one {
        ip_hash;
        server one.example.com:80;
    }
    }
        upstream backend_http_two {
        ip_hash;
        server one.example.com:80;
    }

    upstream backend_1234 {
        ip_hash;
        server one.example.com:1234;
        server two.example.com:1234;
    }

    server {
        listen 1234;
        proxy_pass backend_1234;
    }
}

[Drno]

Valentin Barbolin, да, насчет sni я ошибся
Значит вариант с VPS видимо

[Drno]

Сергей Кузнецов, если к сервису цепляются конечные клиенты, то для них надо делать всё «прозрачно». Иначе задолбаешься рахруливать потом

Answer 1

[Saboteur]

Если в заголовках не идет никакой информации, ты никак не сможешь разрулить, потому отправляя просто tcp пакет на удаленный host.com, этот самый host.com резолвится в айпи-адрес на уровне твоего клиента, и пакет идет на айпи-адрес. Сам айпи адрес, получив пакет, не знает на какой домен этот пакет должен был прийти. Он просто пришел на связку айпи-порт.

http разруливается потому, что в каждом http реквесте приходят заголовки, типа user agent и другие, в том числе и заголовок с урлом (в http1 это Host, в http2 вроде :authority), и по этому хедеру веб сервер может разрулить и перенаправить тебя на нужный сайт/айпи/порт.

Поэтому либо разноси по разным портам, либо юзай http, либо, если это какой-то свой кастомный протокол, добавлять в него информацию про поддомен, и придумать какой-то прокси, который будет эту инфу вытаскивать и роутить уже на конкретные сервера в локалке, но это прям мегавелосипед.

Answer 2

[ky0]

Вариант ровно один - разнести всё-таки по разным портам. Маловероятно, что подходящий вам костыль - разруливать не по порту назначения, а по адресам источников.

В HTTP специально разработали виртуальные хосты и SNI, чтобы можно было делать то, что вы хотите - по-разному обрабатывать запросы на один и тот же порт в зависимости от заголовка. Если у вашего протокола нет аналогичной функциональности - то, что вы хотите, никак не сделать.

Answer 3

[aleks-th]

1. Нарисуйте схему сети которую хотите получить.
2. Карие сервисы будете использовать.

http - спокойно можно разрулить nginx -ом,
https://qna.habr.com/q/713281?ysclid=lk2y2p333k950...
вот точно такой же вопрос, с ответами.

Другие сервисы тоже можно разрулить, практически на все можно или прокси найти или промежуточный сервер сделать, все зависит от того что будете использовать.

В общем случае чтобы тупо по доменам делать маршрутизацию всего наверное не выйдет так как доменное имя выше таблицы маршрутизации, а адрес один, а маршрутизация идет по адресу, а не по именам.
Более подробно без нарисованой схемы сети, и какие серверы хотите развертывать навреное не получится подсказать.

Answer 4

[Александр]

Deep Packet Inspection ?!