Cloudflare proxy, full (strict) с доступом из внутренней сети, как?

Выпуск сертификата к тому, кто обслуживает домен, прямого отношения не имеет.

Так как бы речи то про обслуживание домена не идет.

Вы не поняли проблематику - в схеме есть CF proxy, который САМ выпускает сертификаты для домена, но ставит их на _свои_ проксирующе сервера.

Cloudflare proxy, full (strict) с доступом из внутренней сети, как?

Сертификат - какой хотите

Так в этом то и вопрос - какой? Выпустится ли LE-серт если домен отдает CF-серт? Про self-sig вроде писал что это самый плохой вариант (в целом ,как и PKI)

никакого издевательства. В локальной сети - локальные DNS-серверы, отдающие локальный IP

и? Сертификат привязывается к доменному имени, а не IP

Cloudflare proxy, full (strict) с доступом из внутренней сети, как?

Из внутренней сети делаете доступ либо по локальному доменному имени,

Этож издевательство над пользователями в особо извращенной форме. Люди должны в голове постоянно держать в какой сети они находятся - если ты в интернете то или на service.company.com, если в локалке то на service.local.com, если включен VPN то тоже на service.local.com. И хорошо если это браузерный сервис, а если у нас клиент это приложение, то надо каждый раз в настройки ползать. Ну и для локального сервиса все равно потребуется сертификат - самоподписанный, т.к. LE его не выдаст. Т.е. получим п.1

либо по тому же имени, но резолвящемуся в локальный IP - и обрабатываемому другим конфигом веб-сервера, без mTLS.

Не осознал идею. Другой конфиг, допустим, а сертификат то чей(какой) ставить - LE или Self-signed?

Куда класть soho/стартап бэкапы?

Выглядит как- то не сильно продуктово

В целом с тем же успехом могли затолкать наши данные в ipfs и раздать себе же =) но это все както-то опять таки не тянет на нормальный бэкап

Куда класть soho/стартап бэкапы?

что вам мешает добавить в ту же кладовку локальную железку?

Бэкап лежащий в том же месте не бэкап, а так... копия. Отключение интернета\ЭЭ превращает все в тыкву. Ну и если кофаундер вдруг решит что-ндь учудить (маловероятно, но не ноль).

Нормальным провайдерам на локацию клиента плевать от слова совсем.

Тут такое дело, что с одной стороны РКН может начать банить всех направо и налево, как это было с сетями клудфларе. Что им помешает долбануть, скажем AWS\Hetzner? С другой санкции и шанс попасть в SDN-лист, всякие вагранты и докер.хабы взяли и забанили всю страну. Тот же хетснер, кажется тоже от греха подальше решил дистанцироваться. Как-то не очень хочется через полгода заново все переделывать =)

Немало кто так наоборот, обрадуется, если криптой платить будете.

Вот с чем точно никто не хочет связваться так это с криптой. У нас есть физик в штатах с картой.

Куда класть soho/стартап бэкапы?

Спасибо за ссылки, посмотрю. В целом да, по сути способ не принципиален, хотелось бы скорости побольше чтобы не ждать неделю полного синка (rsync.net через 2 суток дропает сессию)

Что почитать по IPv6?

Юрий MikroTik, это где-это можно пройти MTCNA+MTCIPv6E за десяточку? яб с радостью

Что почитать по IPv6?

Zettabyte, ну, внутренние сервисы вполне могут работать на ipv6, чисто теоретически можно обходиться без костылей вида vpn\jump-хостов

Что почитать по IPv6?

ValdikSS, спасибо

Что почитать по IPv6?

Спасибо, но за 50к (MTCNA+MTCIPv6E) я лучше книги почитаю не привязываясь к вендору

Что почитать по IPv6?

Adamos, меня больше интересует с точки зрения корпративно-домашнего администрирования. С сайтами и сервисами в целом и так все понятно - ipv6 нет у мобильных операторов => отказ от ipv6 приведет к недоступности