Задать вопрос

Cloudflare proxy, full (strict) с доступом из внутренней сети, как?

Чет не могу сообразить как решить задачку:
Имеем внутренний сервис, который смотрит наружу. Для отсечки ботов/ненужных регионов/скрытия реального IP на CF включен proxy. Все работает, все отлично.
Повышаем безопасность - прикручиваем к сервису самоподписанный сертификат, в CF включаем режим full (шифрование от сервиса до серверов CF, без проверки валидности сертификата) - все отлично, все работает.

Вопрос, как сделать сервис (сертификат) валидным из локалки?
Варианты которые приходят в голову:
1. установить всем в локалке самоподписанный сертификат - идея так себе, по очевидным причинам (мобилы/домашние устройства и пр)
2. прикрутить к сервису LE-шные сертификаты. Теоретически должно работать - в локалке будет отдаваться LE серт, в интернете CF-proxy'шный. Но есть подозрение, что certbot, слегка удивится попытке выпустить LE-сертификат, для сервиса который отдает CF-сертификат
3. Удалить из DNS'а локальной сети адрес сервиса, чтобы вообще все ходили через CF. Привязывать внутренний сервис к внешнему для доступа выглядит как-то странно, плюс если требуется гонять большой объем данных, в локалке хочется делать это быстрее.

выглядит так как будто должен быть более простой способ решить проблему :)
  • Вопрос задан
  • 95 просмотров
Подписаться 3 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
@vitaly_il1
DevOps Consulting
2. прикрутить к сервису LE-шные сертификаты

ИМХО самое правильное
Ответ написан
Комментировать
ky0
@ky0 Куратор тега Системное администрирование
Миллиардер, филантроп, патологический лгун
Из внутренней сети делаете доступ либо по локальному доменному имени, либо по тому же имени, но резолвящемуся в локальный IP - и обрабатываемому другим конфигом веб-сервера, без mTLS.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы