Как сделать ссылку на локальный ресурс, если сервер за Cloudflare?

Question

[lekam]

Есть сайт радиостанции, который находится на домашнем компе, есть белый IP и роутер, который умеет Iptables. Чтобы скрыть реальный IP используется Cloudflare. На роутере проброшены адреса Cloudflare до локального сервера.
В итоге сайт работает, а трансляция нет. Плеер выглядит так:

<audio >
  <source src="https://example.com:8000/audio" >
</audio>

Если заменить на <source src="https://192.168.0.100:8000/audio" > то внутри локалки работает.
iptables настроены так:

iptables -A PREROUTING -t nat -i eth1 -s <CF IP> -p tcp --dport https -j DNAT --to 192.168.0.100:443
iptables -A FORWARD -p tcp -d 192.168.0.100 --dport https -j ACCEPT
iptables -A PREROUTING -t nat -i eth1 -s <CF IP> -p tcp --dport 8000 -j DNAT --to 192.168.0.100:8000
iptables -A FORWARD -p tcp -d 192.168.0.100 --dport 8000 -j ACCEPT

Как получить доступ к аудиопотоку извне?

Answer 1

[Valentin Barbolin]

Почему бы не использовать 443 порт и настроить на web сервере с сайтом проксирование (nginx).

<audio >
  <source src="https://example.com/audio" >
</audio>

location ^~ /audio {
        proxy_pass https://192.168.0.100:8000/audio;
        proxy_read_timeout 3600;
        proxy_redirect off;
        proxy_request_buffering off;
        proxy_pass_header   Server;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
        send_timeout 3600;
}

Comments

[lekam]

Спасибо за идею! Попробую переписать для себя под Apache

[alex1478]

Нужно только аудио поток запрашивать таким способом https://example.com/audio?ЛюбыеРандомныеЗначения иначе CF отдаст кусок потока из кэша.

[lekam]

Andrey Barbolin, alex1478, вот мой конфиг

<VirtualHost *:443>
ServerName example.com
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html/example/
SSLEngine on
    SSLCertificateFile ssl/example.com.pem
    SSLCertificateKeyFile ssl/example.com.key
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined

SSLProxyEngine On
SSLProxyVerify none.
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off

ProxyPass /audio https://192.168.0.100:8000/audio
ProxyPassReverse /audio https://192.168.0.100:8000/audio

</VirtualHost>

Трансляция не работает, в логах Apache ошибка:

[Tue Jun 02 17:58:16.251581 2020] [proxy_http:error] [pid 17850] (70007)The timeout specified has expired: [client ***:29856] AH01102: error reading status line from remote server 192.168.0.100:8000, referer: https://example.com/ru/
[Tue Jun 02 17:58:16.251696 2020] [proxy:error] [pid 17850] [client ***:29856] AH00898: Error reading from remote server returned by /audio, referer: https://example.com/ru/radio

Очевидно, прокси не может получить статус сервера на 192.168.0.100:8000/audio. Но там никакого сервера и нет, надо как-то отключить эту проверку?

[alex1478]

В https://192.168.0.100:8000/audio https на http замените

[lekam]

alex1478, почему? У меня приложение генерирует зашифрованный поток и в локалке https://192.168.0.100:8000/audio работает, только ругается на самоподписанный сертификат.
А на http запросы выдаёт ошибку

error:1408F09C:SSL routines:ssl3_get_record:http request

[Valentin Barbolin]

Надо посмотреть ЛОГ приложения запущенного на 8000 порту.
Если website и ваше радио крутятся на одном сервер, то адрес надо использовать localhost. И попробовать изменить ProxyPassReverse.

Что вообще крутить на порту 8000? Надо погуглить как его правильно проксировать.

ProxyPass /audio https://localhost:8000/audio
ProxyPassReverse /audio https://example.com/audio

[lekam]

Andrey Barbolin, переделал, ничего не поменялось. Всё крутится на одной машине, за аудиопоток отвечает Liquidsoap

output.harbor.ssl(%vorbis(samplerate=8000, channels=2),
  port = 8000,
  mount = "audio", format="audio/ogg", encoding = "UTF-8",
  radio)

Может быть дело в Cloudflare и его нельзя просто так использовать для трансляции?
Попробую убрать шифрование и переделать всё на Icecast...

[lekam]

Убрал шифрование для сайта, трансляцию перенёс на Icecast, всё работает через http, конфиг Apache:

ProxyPass /audio http://localhost:8000/audio
ProxyPassReverse /audio http://localhost:8000/audio

Всё заработало. Теперь на localhost:8000 действительно есть сервер (icecast), наверно поэтому ошибка не возникает. А вот при использовании Liquidsoap и output.harbor.ssl никакого сервера по этому адресу нет.

[Valentin Barbolin]

Если так

RewriteEngine on
ProxyRequests Off
ProxyPreserveHost on
ProxyPass /audio wss://locahost:8000/audio 
ProxyPassReverse /audio wss://localhost:8000/audio

[lekam]

Andrey Barbolin, теперь в логах такая ошибка

[proxy:warn] [pid 27313] [client ***:9028] AH01144: No protocol handler was valid for the URL /audio (scheme 'wss'). If you are using a DSO version of mod_proxy, make sure the proxy submodules are included in the configuration using LoadModule., referer: https://example.com/radio

[Valentin Barbolin]

Говорит что не хватает модуля в Apache. Я бы на вашем месте отказался от Apache и от https на 8000 порту (он тут не нужен).

https://coderoad.ru/38838567/%D0%9F%D1%80%D0%BE%D0...

[lekam]

Andrey Barbolin, отказаться от Apache в пользу чего и почему? Так то практически как положено заработало. Мне кажется Апач самый популярный и для него проще найти разные руководства и инструкции.

[Valentin Barbolin]

lekam, Nginx быстрее чем apache) Nginx более популярен как фронтенд и прокси (в вашем случае его можно поставить перед apache), он более гибкий, особенно если сравнивать режимы проксирования.

https://kinsta.com/blog/nginx-vs-apache/

Как по мне, вот это показательный график.

Answer 2

[Александр Аксентьев]

https://support.cloudflare.com/hc/en-us/articles/2...

CF нельзя использовать для любого трафика.
Только http и только на определенных портах.

Остальное только на платных тарифах.

Comments

[lekam]

Спасибо за ссылку!
Попробовал перенести всё на порт 2096, но тоже не работает.
Похоже единственный выход, это аренда VPS для прокси.