Как организовать https между 2 серверами с nginx?

Question

[Николай]

Дано
1. сервер внутри локальной сети 192.168.0.10 (ubuntu + nxinx)
2. роутер смотрящий в интернет с белым IP x.x.x.x, с закрытыми 80 и 443 портами, с открытыми и проброшенными к локальному серверу 8080 и 8443 портами
3. арендованный впс с белым IP y.y.y.y (ubuntu + nxing)
4. домен site.ru смотрящий на впс y.y.y.y

Задача
Открывать site.ru с сервера из локальной сети по https.

С HTTP все просто, настроено и работает: На впс поднят проксирующий на другой ip:порт nginx.

server {
    listen       80;
    server_name  site.ru www.site.ru;

    location / {
        proxy_pass  http://x.x.x.x:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real_IP  $remote_addr;
   }
}

Получается локальный сервер знает все о клиенте, а клиент ничего не знает о конечном сервере.

Как это все сделать на HTTPS?

На сколько я понимаю, будут 2 шифрованные ноги
1. клиент -> впс (сертификат letsencrypt)
2. впс -> локальный сервер (нужен само подписанный сертификат?)

Получается клиент шифрует, проксирующий nginx дешифрует, он же шифрует для второй ноги и конечный nginx дешифрует.

Интересует именно вторая нога от проксирующего nginx к конечному nginx. Как настроить между ними безопасное шифрование?

Есть ли другие способы реализации https в такой сетевой архитектуре?

Comments

[Евгений Хлебников]

Вопрос: если это один и тот же сайт, доступный и по HTTP и по HTTPS и вас не смущает доступность оного по HTTP с локального сервера (конфигурацию вы приводите в вопросе), то зачем балансировать оба варианта отдельно?
Почему бы не терминировать TLS на балансере на VPC а до локального сервера гонять HTTP?

[Николай]

Евгений Хлебников, потому что данные между впс и локальным сервером (вторая нога) выходят в интернет - трафик будет незащищен.

[Евгений Хлебников]

Николай, но ведь HTTP то вы сделали, судя по вопросу
или это чисто как пример, проба ?

[Евгений Хлебников]

кстати, как вариант: переложить вопрос безопасности канала на связь между роутером и VPS (например поднять wireguard) и гонять незашифрованный трафик внутри =)

[Valentin Barbolin]

Либо самоподписанный сертификт либо тот же сертификат от letencrypt копировать каждые 3 месяца (скриптом) на домашний сервер.

[Lynn «Кофеман»]

Поднимать в современном мире торчащий наружу http-сервер который занимается не только редиректом на https-версию это очень странное действие.

[Николай]

Lynn «Кофеман», а как современном мире хостить сайт на сервере с закрытыми 80 и 443 портами?

[Lynn «Кофеман»]

Николай, я имел в виду, что nginx на vps на 80 порту должен делать редирект на https (ну ещё какой-нибудь кусок конфига для letsencrypt, если надо) и вопрос про проксирование запросов по http отпадает как неактуальный.

Answer 1

[Ivan Ustûžanin]

в принципе всё верно, правда что такое "первая нога" и "вторая нога" не сразу понял
для такого варианта какой-то сертификат для конечного nginx нужен, но какой именно неважно, ЕМНИП по умолчанию nginx не проверяет валидность сертификатов при proxy_pass на https

можно ещё посмотреть на модуль stream и proxy-протокол, тогда проксирующий nginx будет тупо перенаправлять трафик и ничего расшифровывать и снова шифровать не будет, терминированием ssl-сессии будет заниматься конечный nginx
у этого способа есть свои недостатки — порты на конечном nginx нужны отдельные чтобы принимать proxy-протокол, проксирующий nginx не будет ничего знать о доменах, т.к. по большому способу будет работать на уровне tcp

Comments

[Николай]

Получается, для конечного nginx я генерю самоподписанный сертификат и настраиваю как как обычно:

ssl_certificate /etc/nginx/certs/my.crt;
ssl_certificate_key /etc/nginx/certs/my.key;

При этом на проксирующем просто указываю в proxy-pass https://x.x.x.x:8433?

какой-то сертификат для конечного nginx нужен, но какой именно неважно, ЕМНИП по умолчанию nginx не проверяет валидность сертификатов при proxy_pass на https

Если не проверяем валидность, как обезопасится от man-in-middle атак (от банальной подмены сертификата)? Или можно как-то добавить этот самоподписанный в доверенные (что для этого нужно)?

можно ещё посмотреть на модуль stream и proxy-протокол

тоже хороший вариант (можете направить меня в правильное русло для настройки этого?), но в этом случае клиент будет видеть IP и порт отвечающего сервера (т.е. белый ip x.x.x.x и порт 8433) ну и все остальное будет?

[Ivan Ustûžanin]

Николай,

При этом на проксирующем просто указываю в proxy-pass https://x.x.x.x:8433?

именно

Если не проверяем валидность, как обезопасится от man-in-middle атак (от банальной подмены сертификата)? Или можно как-то добавить этот самоподписанный в доверенные (что для этого нужно)?

ответы на эти вопросы находятся в документации по ngx_http_proxy_module, а именно:
не проверяется по умолчанию, за включение проверки отвечает директива proxy_ssl_verify
за указание доверенных сертификатов отвечает директива proxy_ssl_trusted_certificate

тоже хороший вариант, но в этом случае клиент будет видеть IP и порт отвечающего сервера (т.е. белый ip x.x.x.x и порт 8433) ну и все остальное будет?

с какого перепоя он вообще что-то должен видеть? принцип работы тот же, что и с ngx_http_proxy_module, только не происходит разбора ни tls, ни http, а открывается новое соединение с proxy-заголовком до конечного nginx
ПЛЮС: можете попробовать сказать мне на какой ip идут proxy-запросы для, скажем, free-dom-tam-pons.com (без дефисов) — тут на конечных серверах как раз и применяется ngx_stream_proxy_module