Как сделать домен с SSL вместо IP для WG-Easy (реп. DigneZzZ/dwg)?

Question

[MrTNTminer]

Привет. Использую данный репозиторий с GitHub для VPN WireGuard --> ссылка.
Он автоматически устанавливает WireGuard + AdGuard Home (и другие компоненты), самому практически ничего не приходится делать (он скачивает старую версию WG-Easy, и поэтому в docker-compose.yml надо указывать вместо image: weejewel/wg-easy --> image: ghcr.io/wg-easy/wg-easy).

Сама суть проблемы такая: Смотря инструкцию (она в самом низу репозитория WG-Easy) с GitHub по установке SSL на домен для WG-Easy (репозиторий), я пробовал использовать Nginx (также Caddy), но потерпел поражение, и ничего не получалось. То падали контейнеры, то не запускались, или вообще ничего не происходило с ними.

Те, кто понимает и знает, как сделать доступ к панели WG-Easy не с IP, а с домена (к примеру vpn.site.com; желательно поддомен) и прикрутить к нему SSL от Let’s Encrypt, пожалуйста, помогите, я никак не могу понять, как это сделать.

Заранее спасибо за помощь ❤

Answer 1

[Valentin Barbolin]

Не забудь поменять MYEMAIL@gmail.com на свой.

version: "3"
services:
  traefik:
    image: "traefik:v2.10"
    container_name: "traefik"
    command:
      #- "--log.level=DEBUG"
      - "--api.insecure=true"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "--certificatesresolvers.myresolver.acme.httpchallenge=true"
      - "--certificatesresolvers.myresolver.acme.httpchallenge.entrypoint=web"
      #- "--certificatesresolvers.myresolver.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory"
      - "--certificatesresolvers.myresolver.acme.email=MYEMAIL@gmail.com"
      - "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
    ports:
      - "80:80"
      - "443:443"
#      - "8080:8080"
    volumes:
      - "./letsencrypt:/letsencrypt"
      - "/var/run/docker.sock:/var/run/docker.sock:ro"
    networks:
      private_network:
        ipv4_address: 10.2.0.120

  unbound:
    image: "mvance/unbound:1.17.0"
    container_name: unbound
    restart: unless-stopped
    hostname: "unbound"
    volumes:
      - "./unbound:/opt/unbound/etc/unbound/"
    networks:
      private_network:
        ipv4_address: 10.2.0.200

  wg-easy:
    depends_on: [unbound, adguardhome]
    environment:
      - WG_HOST=MYHOST_IP
      - PASSWORD=openode
      - WG_PORT=51820
      - WG_DEFAULT_ADDRESS=10.10.10.x
      - WG_DEFAULT_DNS=10.2.0.100
      - WG_ALLOWED_IPS=10.2.0.0/24, 0.0.0.0/0, ::/0
      - WG_PERSISTENT_KEEPALIVE=25
      - WG_MTU=1280
    #image: ditek/wg-easy
    image: weejewel/wg-easy
    container_name: wg-easy
    volumes:
      - .:/etc/wireguard
    ports:
      - "51820:51820/udp"
#      - "51821:51821/tcp"
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
    dns:
      - 10.2.0.100
      - 10.2.0.200
    networks:
      private_network:
        ipv4_address: 10.2.0.3
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.vpn.rule=Host(`vpn.site.com`)"
      - "traefik.http.routers.vpn.entrypoints=websecure"
      - 'traefik.http.routers.vpn.tls=true'
      - "traefik.http.routers.vpn.tls.certresolver=myresolver"
      - "traefik.http.services.vpn.loadbalancer.server.port=51821"

  adguardhome:
    depends_on: [unbound]
    image: adguard/adguardhome
    container_name: adguardhome
    restart: unless-stopped
    environment:
      - TZ=America/Los_Angeles
    volumes:
      - ./work:/opt/adguardhome/work
      - ./conf:/opt/adguardhome/conf
    networks:
      private_network:
        ipv4_address: 10.2.0.100

networks:
  private_network:
    ipam:
      driver: default
      config:
        - subnet: 10.2.0.0/24

Comments

[MrTNTminer]

Привет, спасибо за твой ответ. Я сделал по коду который ты предложил, но сайт по https выдает ошибку вида "Угроза безопасности. Невозможно установить безопасное соединение", а потом начал выдавать "Этот сайт не может обеспечить безопасное соединение".

Также хотел спросить, можно ли отключить любой доступ к веб-части по IP и сделать только по https к домену без порта в ссылке?

Пожалуйста, взгляни что я сделал не так:

version: "3"
services:
  traefik:
    image: "traefik:v2.10"
    container_name: "traefik"
    command:
#      - "--log.level=DEBUG"
      - "--api.insecure=true"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "--certificatesresolvers.myresolver.acme.httpchallenge=true"
      - "--certificatesresolvers.myresolver.acme.httpchallenge.entrypoint=web"
#      - "--certificatesresolvers.myresolver.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory"
      - "--certificatesresolvers.myresolver.acme.email=ssl@domain.com"
      - "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
    ports:
      - "80:80"
      - "443:443"
#      - "8080:8080"
    volumes:
      - "./letsencrypt:/letsencrypt"
      - "/var/run/docker.sock:/var/run/docker.sock:ro"
    networks:
      private_network:
        ipv4_address: 10.2.0.120

  unbound:
    image: "mvance/unbound:1.17.0"
    container_name: unbound
    restart: unless-stopped
    hostname: "unbound"
    volumes:
      - "./unbound:/opt/unbound/etc/unbound/"
    networks:
      private_network:
        ipv4_address: 10.2.0.200

  wg-easy:
    depends_on: [unbound, adguardhome]
    environment:
      - WG_HOST=tyt.ip.adres.servera
      - PASSWORD=1234567890
      - WG_PORT=51820
      - WG_DEFAULT_ADDRESS=10.10.10.x
      - WG_DEFAULT_DNS=10.2.0.100
      - WG_ALLOWED_IPS=10.2.0.0/24, 0.0.0.0/0, ::/0
      - WG_PERSISTENT_KEEPALIVE=25
      - WG_MTU=1280
    image: ghcr.io/wg-easy/wg-easy
    container_name: wg-easy
    volumes:
      - .:/etc/wireguard
    ports:
      - "51820:51820/udp"
#      - "51821:51821/tcp"
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
    dns:
      - 10.2.0.100
      - 10.2.0.200
    networks:
      private_network:
        ipv4_address: 10.2.0.3
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.vpn.rule=Host(`vpn.domain.com`)"
      - "traefik.http.routers.vpn.entrypoints=websecure"
      - 'traefik.http.routers.vpn.tls=true'
      - "traefik.http.routers.vpn.tls.certresolver=myresolver"
      - "traefik.http.services.vpn.loadbalancer.server.port=51821"

  adguardhome:
    depends_on: [unbound]
    image: adguard/adguardhome
    container_name: adguardhome
    restart: unless-stopped
    environment:
      - TZ=America/Los_Angeles
    volumes:
      - ./work:/opt/adguardhome/work
      - ./conf:/opt/adguardhome/conf
    networks:
      private_network:
        ipv4_address: 10.2.0.100

networks:
  private_network:
    ipam:
      driver: default
      config:
        - subnet: 10.2.0.0/24

Заранее спасибо ❤

[Valentin Barbolin]

MrTNTminer, Так просто не заходи по IP, а зоходи по доменному имени.

[MrTNTminer]

Valentin Barbolin, У домена как раз вылазит ошибка SSL.

[Valentin Barbolin]

MrTNTminer, А домен реальный?

[MrTNTminer]

Valentin Barbolin, Да.

[Valentin Barbolin]

MrTNTminer, Какую ошику пишет бразер? Вот например у меня ошибка, я зашел по IP, а он говорит что не совпадает common name потому что в сертификате написано opnsense.domain.com

[MrTNTminer]

Valentin Barbolin, Я вчера тестировал на левом сервере который для теста арендовал, но когда я заходил по ИП, открывался текс от traefik вида "Тут ничего нет". По https IP вроде не заходтил.
При подключении с домена, по https была ошибка которую писал выше, а по http вроде какая-то левая ошибка, уже не помню.

Если надо больше информации, я сейчас сделаю новую машину и настрою.

[Valentin Barbolin]

MrTNTminer, Скорее всего трафик не смог получить сертификат для твоего домена у Lets Encrypt и подсунул тебе самоподписанный на который соответственно будет ругать браузер. Для получения валидного сертификаты необходимо в DNS сделать А запись на IP твоего сервер и запустить трафик, он попытает получить сертификат.

[MrTNTminer]

Valentin Barbolin, Я изначально в DNS указал запись на сервер и подождал минут 15-20 для обновления данных.

[MrTNTminer]

Valentin Barbolin, Про "Так просто не заходи по IP, а заходи по доменному имени.".
Хотелось просто чтобы доступ по ип к сайту был полностью заблокирован, а к домену только по https, а http заблокирован.

[Valentin Barbolin]

MrTNTminer,

Хотелось просто чтобы доступ по ип к сайту был полностью заблокирован

Так он и заблокирован, у меня при переходе по IP возвращается ошибка 404.

а к домену только по https, а http заблокирован.

Надо добавить редирект с http на https, полностью закрыть 80 порт нельзя, т.к. через него обновляется сертификат.
Для редиректа на https надо добавить в конфиг трафика

- "--entrypoints.web.http.redirections.entryPoint.to=websecure"
- "--entrypoints.web.http.redirections.entryPoint.scheme=https"

Я изначально в DNS указал запись на сервер и подождал минут 15-20 для обновления данных.

Без конкретно ошибки, можно только гадать почему твой браузер ругается на сертификат.

[MrTNTminer]

Valentin Barbolin, Спасибо большое за помощь ❤

Сейчас перепроверил и все работает. Вчера хостер дал ип который был у моего антивируса в базе, может быть из-за этого не работало


И еще вопрос, можно ли чтобы traefik при запросе к ИП не открывал уникальную страницу "404 page not found":

А выдал стандартную от браузеров, по типу такой:

[MrTNTminer]

P.s. - Чтобы SSL не падал после рестарта системы, нужно не забыть добавить в traefik вот эту строку: restart: unless-stopped, после этой строки: container_name: "traefik"