Valentin Barbolin

https://tty-share.com/

(так консоль сервера становится доступной только одному пользователю),

Почему?

Не забудь поменять MYEMAIL@gmail.com на свой.

version: "3"
services:
  traefik:
    image: "traefik:v2.10"
    container_name: "traefik"
    command:
      #- "--log.level=DEBUG"
      - "--api.insecure=true"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.web.address=:80"
      - "--entrypoints.websecure.address=:443"
      - "--certificatesresolvers.myresolver.acme.httpchallenge=true"
      - "--certificatesresolvers.myresolver.acme.httpchallenge.entrypoint=web"
      #- "--certificatesresolvers.myresolver.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory"
      - "--certificatesresolvers.myresolver.acme.email=MYEMAIL@gmail.com"
      - "--certificatesresolvers.myresolver.acme.storage=/letsencrypt/acme.json"
    ports:
      - "80:80"
      - "443:443"
#      - "8080:8080"
    volumes:
      - "./letsencrypt:/letsencrypt"
      - "/var/run/docker.sock:/var/run/docker.sock:ro"
    networks:
      private_network:
        ipv4_address: 10.2.0.120

  unbound:
    image: "mvance/unbound:1.17.0"
    container_name: unbound
    restart: unless-stopped
    hostname: "unbound"
    volumes:
      - "./unbound:/opt/unbound/etc/unbound/"
    networks:
      private_network:
        ipv4_address: 10.2.0.200

  wg-easy:
    depends_on: [unbound, adguardhome]
    environment:
      - WG_HOST=MYHOST_IP
      - PASSWORD=openode
      - WG_PORT=51820
      - WG_DEFAULT_ADDRESS=10.10.10.x
      - WG_DEFAULT_DNS=10.2.0.100
      - WG_ALLOWED_IPS=10.2.0.0/24, 0.0.0.0/0, ::/0
      - WG_PERSISTENT_KEEPALIVE=25
      - WG_MTU=1280
    #image: ditek/wg-easy
    image: weejewel/wg-easy
    container_name: wg-easy
    volumes:
      - .:/etc/wireguard
    ports:
      - "51820:51820/udp"
#      - "51821:51821/tcp"
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
    dns:
      - 10.2.0.100
      - 10.2.0.200
    networks:
      private_network:
        ipv4_address: 10.2.0.3
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.vpn.rule=Host(`vpn.site.com`)"
      - "traefik.http.routers.vpn.entrypoints=websecure"
      - 'traefik.http.routers.vpn.tls=true'
      - "traefik.http.routers.vpn.tls.certresolver=myresolver"
      - "traefik.http.services.vpn.loadbalancer.server.port=51821"

  adguardhome:
    depends_on: [unbound]
    image: adguard/adguardhome
    container_name: adguardhome
    restart: unless-stopped
    environment:
      - TZ=America/Los_Angeles
    volumes:
      - ./work:/opt/adguardhome/work
      - ./conf:/opt/adguardhome/conf
    networks:
      private_network:
        ipv4_address: 10.2.0.100

networks:
  private_network:
    ipam:
      driver: default
      config:
        - subnet: 10.2.0.0/24

При такой схеме на WAN интерфейса используем Gateway, а на LAN убираем Gateway и пишем нужные маршруты.

Зачем тебе это

routes:
             -   to: default
             via: 89.218.165.97

Почему не просто Gateway: 89.218.165.97 ?

Покажи что там в ip ro при таких настройках.

После поднятия VPN на Cisco Any Connect на VPS появляется сетевой интерфейс с IP ?

Все достаточно стандартно
1. На HOST PC весь трафик завернуть в тунель или только сети которые надо.
Так же надо что-то решить с DNS 20.20.20.20, тут
- либо все запросы на него заворачивать
- либо настроить политику NRPT на windows
- либо использовать VPN (openVPN, ZeroTier) которые умеет разделять DNS запросы на основании домена
- либо поднять на VPS сервер DNS типа unbound и на нем настроить правила пересылки, соответственно все свои запросы заворачивать на этот DNS

2. На VPS включить форвард и маскарад.
echo 1 > /proc/sys/net/ipv4/ip_forward # включаем форвард
iptables -I FORWARD -i wg0 -j ACCEPT # разрешаем все что приходит c wg0 интерфейс
iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE # натим все что приходит с wg0 и уходит в тунель Cisco, тут вместо tun0 yказать интерфейс который светить в системе VPS после поднятия туннеля на Cisco.

$TTL    604800
lra-lx1.local       IN      SOA     ns.lra-lx1.local. (
                      202301022         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
                                     A       192.168.1.10      ; delete this line
                                     MX      50 mx.lra-lx1.local.
                                     CAA     128 issue "sectigo.com"
                                     TXT     "v=spf1 a mx -all"
$ORIGIN example.com.
ns           IN      A       192.168.1.20
mx           IN      A       192.168.1.30

попробуй так

> nc: connect to smtp.yandex.ru port 465 (tcp) failed: Network is unreachable
Помоему ошибка однозначная, проблема в сети, возможно DNS не резолвит smtp.yandex.ru или нет маршрута к нему, или на его стороне firewall блокирует тебя.

Че тут гадать, надо проверять.
Для начала ping smtp.yandex.ru
Потом telnet smtp.yandex.ru 465

https://serverfault.com/questions/777875/how-to-do...

https://stackoverflow.com/questions/5609192/how-to...

https://t2linux.org

https://habr.com/ru/company/cloud4y/blog/530516/

https://g.zeos.in/?q=ubuntu%20wake%20up%20without%...

> Может быть для этого использовать какой-то временный домен?
Можно. Добавь new.example.com и сделай 302 с example.com.

> А может быть можно просто перенести файлы сертификата с одного сервера ну другой?
Можно и достаточно легко, но доменное имя должно совпадать.

> Но тогда какие именно файлы (внутри /etc/letsencrypt их много в разных папках)
Посмотри в apache какие именно файлы у него настроены в директиве SSL.
egrep -Ri "SSLCertificateKeyFile|SSLCertificateFile" /etc/apache2/

> И в результате такого копирования будет ли работать автообновление каждые 3 месяца?
Будет, если обновить DNS на новый сервер, установить certbot.

Можно использовать CNAME, т.к. он быстро обновляется.
https://vps.ua/wiki/cname-record/

Вообще варианты есть
1. Перенести сертификат, обновить DNS, настроить проксирование на новый сайт. В результате, часть клиентов будут ходить по новом DNS, часть через прокси пока не обновиться DNS.
2. Создать отдельное DNS имя (можно просто префикс к текущему имени добавить), настроить 302 на него. После обновления DNS сделать все в обратном порядке.
3. Скопировать сертификат, использовать тот же домен, но вместо A записи использовать CNAME.

/etc/apache2/sites-available - достпуные конфиги
/etc/apache2/sites-enable - включенные конфиги

Что бы включить конфиг
sudo a2ensite my-syte.ru.conf

После чего в /etc/apache2/sites-enable появился линк на конфиг в /etc/apache2/sites-available.

Можно поставить DNS unbound и разрулить форвардом.

/etc/unbound/unbound.conf

server:
        verbosity: 1
        interface: 0.0.0.0
        do-ip4: yes
        access-control: 0.0.0.0/0 allow
        chroot: ""
        hide-version: yes
        key-cache-size: 0
        cache-max-ttl: 0

        private-address: 10.0.0.0/8
        private-address: 172.16.0.0/12
        private-address: 192.168.0.0/16

        private-domain: "site.com"

        local-zone: "10.in-addr.arpa." nodefault
        local-zone: "16.172.in-addr.arpa." nodefault
        local-zone: "168.192.in-addr.arpa." nodefault
        local-data: "ntp.site.com IN A 10.10.10.1"

## Если нет записи в local-data то дальше резолвим домены site.com на 1.1.1.1
forward-zone:
        name: "site.com"
        forward-addr: 1.1.1.1

## Все остальное резолвим на 1.1.1.1
forward-zone:
        name: "."
        forward-addr: 1.1.1.1

Для этого прокси придумали.

/etc/nginx/sites-enabled/default

server {
        listen 80;
        server_name domain.ru
location / {
                proxy_pass http://127.0.0.1:3000;
}
location /api {
                proxy_pass http://127.0.0.1:8000;
}
}