我的情况是,我有一台在家庭网络内运行的服务器,可以通过 VPN(Zerotier)从外部连接。该网络通过 NAT 连接到 Internet,因此没有真正的公共 IP。
现在有一些服务需要 HTTPS。同样使用自签名证书也会很麻烦,因为其他一些服务正在容器内运行(并且为每个人添加根 CA 可能会很痛苦)。例如,我drone在一个容器内运行,它需要gitea通过 https 协议(或至少文档中提到的)与服务器通信。
所以我需要一个有效的证书来运行这些服务。
我确实拥有一些域名和几个由托管服务提供商运营的网站。
现在我想知道我有哪些选择来获得运行我的 Intranet 网站的证书?
我创建了一个 Intranet 网站,我想将其限制为仅分布在整个城市的某些计算机,我的第一个想法是在 Web 服务器上创建一个 vpn 服务器并使用证书授权客户端计算机,然后将站点限制为 lan。我使用 SoftEther VPN 设置服务器,但我立即遇到的一个问题是带宽缓慢。现在我的实际问题是,是否可以让客户通过自己的连接浏览互联网,同时能够访问 vpn 上的网站?
编辑:我也愿意接受其他可能不那么具有吸引力的解决方案。
从 Vagrant VM (Ubuntu) 在 OS X 上托管站点,端口转发到 6789。即 VM 中的端口 6789 转发到主机上的 6789。可以像往常一样从主机操作系统 (localhost:6789)、通过 VM IP (192.168.10.10:6789) 或通过来自etc/hosts(someurl.app:6789) 的虚拟主机访问。也可以通过连接到相同 WiFi 的移动设备访问192.168.5.11:6789(Macbook 的 IP 加转发端口)。可以使用 Nmap 从 Windows 10 扫描 IP + 端口,显示“主机已启动”,给我一些值。
无法在 Windows 10 上的任何浏览器中访问。
如果我尝试192.168.5.11:6789从 Windows 10 上的任何浏览器访问,我会收到连接超时。运行该站点的服务器没有注册任何尝试,因此浏览器似乎甚至都没有尝试过。(虽然 nmap 的尝试也没有注册,但不确定它是否是这样工作的,没有经验 -编辑:这是因为 nmap 正在扫描 OS X,而不是 VM 本身,doh)
到目前为止,我已经在 Windows 机器上尝试了以下操作:
除了在高级设置中打开端口之外,有没有办法确保允许浏览器在端口 6789 上发出请求?
在 OS X 上运行 tcpdump,这是它的要点。当我仅尝试从 Windows 访问 URL 时的输出位于顶部 gist 文件中(失败),当我仅尝试从手机访问 URL 时的输出位于底部 gist 文件中(成功)。奇怪的是在失败状态下发生了多少通信,更奇怪的是,在 Windows 浏览器中的请求超时后交易持续很长时间。
Nmap 完整返回数据:
端口:6789/tcp 状态:过滤服务:ibm-db2-admin 版本:-
还取回了 MAC 地址,并说有太多指纹无法提供特定的操作系统详细信息。还得到了一个 traceroute 说 1 HOP at 15-30ms。
设备IP地址:
我想知道是否有办法在我工作的本地 Intranet 站点上使用 Google Analytics。这是一个 WordPress 网站,我们的 IT 部门不允许 WordPress 网站连接到互联网。我想不,但我很想被证明是错误的。
所以我有一个开发 IIS 服务器在具有固定 IP 的 Intranet 上运行。我在 IIS 中设置了一些应用程序。
我得到了最奇怪的行为:如果我加载一个带有 IP 地址或服务器名称和端口的页面,它会写入正确的响应(如我的调试代理中所见)但在 chrome 显示“等待”时长时间挂在白页上并且它是与服务器或应用程序无关的错误 IP 地址。它为几个不同的应用程序执行此操作,每个应用程序都执行相同的操作,但使用随机 IP。它等待连接到错误的本地 Intranet IP。我 ping 了一个,它甚至不是网络上分配的 IP。
我可以在没有调试代理的机器上重复此操作,而且项目中的任何地方都不会出现不正确的 IP。
如果我将相同的应用程序部署到具有适当域/DNS 的面向外部的服务器,它们就可以正常工作。
在我的 Linux 机器上,我需要使用需要身份验证才能访问互联网的 ISA 代理。因此,我安装了 CNTLM 并将其配置为指向代理地址并侦听端口 4321。
然后我将我的 GNOME 发行版配置为使用 localhost:4321 作为 HTTP 和 HTTPS 的全局代理。
结果:我可以连接到互联网。我可以 ping 内联网 IP,我确实收到内联网站点的名称解析,但我无法 ping 它们或在浏览器(配置为使用分发代理)中打开任何内联网站点,除非我使用该站点的 IP 地址。
我尝试在 CNTLM 配置文件中阻止内网 IP 范围,但没有成功。
我们刚刚将公司内部网从基于 IIS 的 ASP(编写不当)服务器/代码库升级到 Windows Server 2008 r2 (Apache/MySQL/PHP) 服务器。
旧服务器允许用户使用那里的 AD 用户/密码登录到 intranet.xxx.org,然后将他们从基本上可以访问 Internet 的任何地方引导到公司的 Intranet。
我们想用新设置模仿该功能(或将其更改为更安全的功能)。
这似乎是为在国家网络上运行的异地员工设置的。国家网络不允许 VPN,因此,我们需要一种方法让这些员工访问内部网。
那么,我们如何让用户从外部世界登录并访问我们的 Intranet?
我管理一个小型网络(10 个用户)。我正准备部署一个仅在本地托管和访问的内部 web 应用程序。网络上大约有10个用户(192.168.111.0/24),一个win2k3服务器,apache(RHEL)和Mysql(RHEL),以及各种杂项外围。我想将 apache 和 sql 框隔离到 lan 的一个单独区域中,以使事情更易于维护/发展。
我一直在阅读有关 vlan、子网等的信息。但是,我不清楚这将是我们设置的最佳解决方案。感谢您提供任何提示和或建议。
我们有一个虚拟机,它在我们的网络中托管一个基于 Web 的错误跟踪器,通过例如 192.168.1.5:9800 在内部访问。从外部,我们在防火墙中进行了端口转发,以便可以通过例如 72.10.10.10:9800 访问该网站。
现在工作正常,但问题是我们有不同的 IP 地址来访问相同的服务,具体取决于我们是在办公室还是在家,并且当服务发送电子邮件时,链接并不总是有效:)
因此,我们正在寻找解决方案来解决它。
一种可能是在防火墙外制定一条规则,将所有与 72.10.10.10:9800 的通信转发到 192.168.1.5:9800 ... 如果可能的话,考虑到它是一个 IP 地址 + 一个端口。我们使用端口的原因是因为我们只有一个静态公共 IP 地址,但有多个虚拟 Web 设备。
感谢您的任何建议或解决方案:)
帕特里克
PS:网络是Win 2008 R2域,我们的防火墙是SonicWall 2040 PRO http://www.sonicwall.com/us/products/PRO_2040.html
简单地说,与 SBS 2008 一起自动安装的 Sharepoint Intranet 站点绑定到 IIS 中的端口 5555,因此您可以浏览到 server-name:5555,然后使用域凭据进行身份验证。
我使用主机头在端口 80 上添加了另一个绑定,因此 intranet.localdomain.local(并在 DNS 中添加了所需的记录)。
这在域中的任何计算机上都可以正常工作,您可以转到更好的地址并进行身份验证没有问题。但是,当您浏览到本地服务器上的端口 80 绑定时,它会到达该端口但无法进行身份验证。
我不知道为什么,这真的很烦人。不是必须修复,但它会很好。有任何想法吗?
迈克尔