Как на mikrotik настроить проброс портов на внутренний сервер и получить сертификат от let's encrypt для внутреннео сервера?

Question

[maxcaesar]

Дано:
1. статический ip висит на роутере от ростелекома, который стоит в bridge с mikrotik
2. сервер с nextcloud во внутренней сети организации (все остальные арм в одной и той же сети)
3. доменное имя, которое ведет на статический ip из пункта 1
Задача:
Необходимо, что пользователи подключались по https на внутренний сервер с nextcloud компании из интернета.
Сложности - не получается получить встроенным средствами на сервере nextcloud ssl сертификат/
В данный момент сотрудники могут заходить на сервер по http://доменнумуимени.рф:1234. вот по https не могу настроить. И что делать, если таких серверов (планируется разместить ещё сайт компании) будет не один?

Comments

[SagePtr]

Если проверка по HTTP недоступна, то можно попробовать проверку по DNS, она не требует какого-либо проброса портов, а только запросы к NS-серверу через API.

[vaut]

для проверки LE по http нужно пробросить 80 порт

Answer 1

[Юрий MikroTik]

1. Искать в настройках роутера РТ - DMZ и пробрасывать весь трафик на микрот (костыль)
2. Настроить роутер РТ бриджем и принимать белый IP на микрот (правильный вариант)
3. Если это gpon, купить gpon stick и mikrotik с sfp, попробовать сделать все на микроте минуя лишнее колено (идеальный вариант)

Comments

[maxcaesar]

на микроте принимается белый ip от роутера РТ

[Юрий MikroTik]

maxcaesar, тогда не должно быть проблем с пробросом. Счётчики dst-nat отрабатывают?

Answer 2

[akelsey]

Рассмотрите альтернативный вариант - выпуск сертификата через dns challenge, например это работает если dns захостить на cloudflare, тогда ничего пробрасывать будет не нужно, создать можно будет wildcard сертификат для нужного домена и не нужно будет пробросами заниматься внутрь сети.

Answer 3

[hexRAT]

1. Зачем IP-провайдера в бридж?
2. Есть удобный nginx-proxy-manager, делает почти всё(кофе не варит),
p.s\etc: подписывает у меня сертификаты на внешний ип организации, для виртуалки vaultwarden, работает уже 2ой год
3. Ну уж на крайний случай, cloudflare, там кажется уже есть всё

Answer 4

[Dupych]

Как сделано у меня.
Микротик Nat
Как было
Web 443
Mail
Nagios 880
Nextcloud 8443
Temp 8888
Мучался и плакал.
С помощью ИИ из web сделал прокси
Теперь все идет на WEB 443 и 80
WEB получает сертификаты для всех Lets crypt
У всех убрал порты
Теперь на все свои ресурсы попадаю красиво
У всех красивый сертификат от моего домена.
С маил была проблемка тк доя локалки ему нужен сертификат внутри на отправку.
Вот тут мне помог ИИ. Я на Exchange получал сертификат скриптом по ACME. Временно выключая 80 на WEB и включая на MAIL.
Теперь у меня ACME MAIL получает его по DNS.