Yan, а клиенты-то умеют DoH и в курсе, что он там есть?
Оптимальный способ - когда у вас в локальной сети есть днс-прокси или обычный днс-сервер, умеющий обращаться к DoH/DoT - и именно он отдаётся впн-клиентам. В этом случае, поскольку запросы ходят через туннель - не страшно, что они не шифрованные.
Iceforest, хапрокси проксирует TCP, ему всё равно, что там внутри пакетов. Нгинксу же, как веб-серверу - нет.
Получается, что у вас снаружи сертификатов/ключей нет (то есть это не HTTPS, хоть и 443 порт), проксируется оно внутрь со схемой http:// (хотя внутри, как вы говорите, SSL)... всё настроено неправильно, короче :)
Вынесите шифрование на внешний нгинкс, с внутреннего наоборот уберите - тогда заработает.
Алексей Уколов, а что прописка? Аккредитованному сертификационному центру по большому счёту без разницы, где прописан их клиент. А то, что иностранные компании щемят граждан РФ, обитающих в Крыме - вполне понятно и ожидаемо, но я-то и не предлагаю к таким обращаться.
Международный консенсус заключается в том, что Крым - территория Украины. Соответственно, от международных компаний вполне логично ожидают, что услуги проживающим на этой территории будут оказывать украинские отделения этих компаний - чтобы налоги, там, в нужный бюджет уходили и всё такое... Уверен, что если ТС обратится в любую украинскую контору, никаких дискриминационных пунктов вида "...если вы не проживаете там-то" он не увидит.
Xandiem, у ТГ есть HTTP-API, а следовательно - любое ПО, которое может в качестве действия отправлять HTTP-запрос, подходит. В том же заббиксе раньше это реализовывалось скриптом из трёх строчек, а теперь, если не ошибаюсь, и вовсе официально добавили интеграцию прямо из вебморды.
photosho, смотря что за записи. Если это попытки авторизации - какое хостингу до них дело?
Опять же - если эти 170к запросов произведены с 50 тысяч разных IP-адресов, что с ними сделаешь? Банить после 2-3 неудачных попыток ввода пароля - значит стрелять себе в ногу, потенциально запрещая доступ легитимным пользователям.
photosho, если один и тот же адрес активно и долго долбится - разумеется, его нужно банить. Но в целом я бы на вашем месте не ждал, что в какой-то момент вы забаните всех или подавляющее большинство ботов. Если такая фоновая активность нагружает сервер - видимо, нужно думать в сторону увеличения его мощности или оптимизации настроек.
ronny, можно, например, сделать простейшую пустую страницу с редиректом - и отдавать её. Тогда клиенту прицепится кука, и он перенаправится куда-нибудь на основной сайт. В локейшене, значит, нужно будет указать root и index.
БлагоЯр Тишина, устанавливаете пакет с тем веб-сервером, который вам ближе, добавляете для начала простейший конфиг, отдающий что-нибудь статичное с нужного поддомена. Убедившись, что DNS работает и запросы прилетают, куда надо - меняете конфиг на такой, какой предполагается вашими сайтами.
Дмитрий, у нас ещё более древняя Хитача - так ровно 100% контор, к которым было заслано предложение по обслуживанию, радостно заявило "ничего, что оно EOL, мы вам и починим, и диски закупим впрок" :)
