Buongiorno, sono passato mio malgrado a Sky Wifi con FTTH, ma ho problemi ad accedere ai servizi del server dall'interno della rete usando il mio dominio, dall'esterno funziona correttamente.

Ho attivato la DMZ verso l'USG ubiquiti collegato in cascata e il mio ip è passato alla classe 101.58. tutto le altre configurazioni dell'USG, Adguard e Nginx Proxy manager sono rimaste invariate rispetto al precedente provider (Fastweb). Riesco ad accedere ai vari servizi sul server tramite sottodominio.miodominio.it solo dall'esterno della rete locale, dall'interno ricevo un ERR_CONNCETION_FAILED. Dall'interno posso accedere ai servizi con ip locale e porta.

È sicuramente un problema legato al NAT (non dovevo averlo anche prima con Fastweb?), posso risolvere in qualche modo? vorrei accedere al server sia dall'interno che dall'esterno usando sottodominio.miodominio.it.

Tutto quello che ho provato non sembra funzionare.

grazie mille!

  • [cancellato]

  • Messaggio #2
  • Modificato

Probabilmente il router Fastweb faceva NAT reflection e quello Sky non lo fa. Se sullo SkyHub puoi impostare specifiche risoluzioni DNS puoi far sì che dall'interno risolva con l'IP interno e non quello pubblico. O lo configuri sul DNS sul'USG, se non lo usi già.

    matteoc ha rimosso il tag FTTH .

    [cancellato] ho impostato una riscrittura DNS in Adguard che riscrive il mio sottodominio.dominio.it all'IP locale e in questo modo posso usare il dominio per accedere ai servizi, ma devo aggiungere la porta su cui risponde il servizio del server mentre con Nginx proxy dall'esterno non ho bisogno di inserire porte.
    Quindi non è una soluzione.

    Sull'USG cosa consigli di fare?
    Ma se Sky non fa NAT reflection non c'è altro modo di ovviare al problema?

    grazie!

        • [cancellato]

        • Messaggio #5

        andref

        Se il proxy mappa la richiesta su una porta diversa da quella standard per il servizio devi passare comunque per il proxy, o la porta è necessaria, inevitabilmente.

        andref Sull'USG cosa consigli di fare?

        Dovresti spiegare un po' meglio la configurazione. In genere se il router che fa NAT non fa reflection, si usa uno split DNS - cioè un DNS risolve per i client WAN, uno separato per quelli LAN. Immagino che l'UGS abbia un DNS più decente di quello dello Sky Hub. quale apparato stai usando come DNS?

        • andref ha risposto a questo messaggio

              [cancellato] Come DNS uso Adguard, ma ho provato ad utilizzare solo l'USG e anche qui riesco a fare un redirect dal dominio all'IP locale, ma non ho tutti i benefici del reverse proxy che avevo prima, non ho più ssl e devo per forse usare la porta essendo un redirect DNS.

              Mi sembra di capire che se il router non fa NAT reflection non c'è modo di usare nginx proxy in locale esattamente come all'esterno.

                  • [cancellato]

                  • Messaggio #7

                  andref Mi sembra di capire che se il router non fa NAT reflection non c'è modo di usare nginx proxy in locale esattamente come all'esterno.

                  Immagino che in NAT il port forwarding sia verso il reverse proxy. Nel DNS locale quindi l'hostname deve puntare al reverse proxy, non alla macchina dietro al proxy, se vuoi evitare di dover specificare la porta.

                      [cancellato] si punta al reverse proxy, poi i servizi sono in docker sul server quindi il reverse proxy ha lo stesso IP dei servizi a cui voglio accedere.
                      Con il reverse proxy riesco ad associare i sottodomini alle porte dei vari servizi. In DNS riesco a fare il redirect sull'ip del proxy, ma sembra che non riesca a capire da quale sottodominio viene e quindi non richiama il servizio senza porta e mi restituisce: ERR_CONNECTION_REFUSED
                      grazie.

                          • [cancellato]

                          • Messaggio #9

                          andref

                          Se funziona con il port forwarding deve funzionare anche con split DNS. Alla fine il DNS gli dice solo quale IP contattare per un dato hostname, il resto poi tocca ai protocolli applicativi. Il reverse proxy si deve trovare quanto gli serve per l'inoltro nell'header HTTP. Conosco poco Nginx come reverse proxy, controlla che la configurazione non droppi il traffico che gli arriva dalla LAN. Prova ad esempio a mettere la risoluzione dell'IP nel file hosts della macchina, se non funziona ti dà la dimostrazione che il problema non è nella configurazione del DNS. Controlla anche i log di Nginx.

                          Però finché non è chiara la configurazione è difficile fare un'analisi più dettagliata.

                            [cancellato] Probabilmente il router Fastweb faceva NAT reflection e quello Sky non lo fa.

                            Esatto, non interesserà all'OP ma questo è il comportamento standard.
                            MAP-T assegna uno stesso IP pubblico a più circuiti quindi un pacchetto destinato al proprio IPv4 non è detto sia diretto alla rete locale e viene quindi instradato normalmente verso il BR che evidentemente non fa reflection nemmeno lui. OpenWRT di default si comporta allo stesso modo (io l'ho patchato in modo da fare reflection se viene assegnato un prefisso PSIDLEN = 0)

                            Una prima soluzione è quella di usare i DNS, una seconda (secondo me più elegante) è di attivare IPv6 su nginx, mettere un record AAAA (con lo sky hub purtroppo serve dyndns come per ipv4) in modo che all'interno (ed anche all'esterno dove supportato) si usi IPv6 che tutti sti problemi non li ha.

                                • [cancellato]

                                • Messaggio #11

                                edofullo una seconda (secondo me più intelligente) è di attivare IPv6

                                Sì, il problema è che lui ha l'UGS dietro e Sky non fa prefix delegation, cosa che sicuramente gli complica la vita.

                                    [cancellato] Ah, me lo sono perso.

                                    Niente, o si mette in bridge o split DNS allora.

                                      Il problema è che lo split DNS non funzionava e non riuscivo a capire il perchè dato che tutto sembrava configurato correttamente. Alla fine mi sono ricordato che quando avevo Fastweb non potevo indirizzare le porte 80 e 443 al reverse proxy perchè erano assegnate al Fastgate e quindi avevo un port forward al proxy, ma questo creava problemi allo split DNS.
                                      Facendo un port forward delle porte di default al proxy server tutto funziona correttamente sia dall'interno che dall'esterno alla rete.

                                      grazie.

                                      Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                      P.I. IT16712091004 - info@fibraclick.it

                                      ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile