penguingrape Oct 3 at 07:00

Порт один, а сервисов — много. Учимся дружить Mikrotik с Nginx

6 min

22K

Selectel corporate blogIT Infrastructure * Server Administration * Nginx * System administration *

+83

Comments 15

init0 Oct 3 at 08:48

Учитывая то, что

worker_processes auto;

и у вас вряд ли один процессор - я бы рекомендовал добавить reuseport в listen стрим сервера

kefiiir Oct 3 at 12:13

когда-то для подобных целей использовал https://github.com/yrutschle/sslh остался очень, доволен, чего-то не хватало, но уже не помню чего и возможно это уже добавили =)

asatost Oct 4 at 07:45

Перед тем как начать, убедитесь, что:
роутер построен на x86 или ARMv8,
есть хотя бы 192 МБ свободной оперативной памяти,

Всё это, конечно, очень интересно, но касательно конкретно микротика возникает вопрос "зачем?" Ведь фаерволл на микротик из коробки (не помню, правда, с какой версии) умеет в connection mark по TLS Host. Без таких серьёзных ограничений по архитектуре и потребности в оперативной памяти. Ну и вообще производительность будет выше.

iassasin Oct 7 at 08:30

Судя по гуглу, метки tls-host в микротике работают уже после NAT и установки tcp соединения (что логично, SNI в L7 протоколе). А значит если вы примените роутинг после этого, коннект тупо сломается, т.к. изменится адрес назначения уже установленного соединения.

asatost Oct 10 at 14:44

Да, Вы правы, я посмотрел схему движения пакетов, таким образом условие TLS Host применить не получится. Спасибо за исправление.

pol-ron Oct 6 at 05:10

Тоже использую nginx reverse proxy, хотел бы добавить что производительность напрямую зависит от реализации, если клиентов и запросов достаточно много, то лучше перенести контейнер куда-нибудь на сервер, что я и сделал.

iassasin Oct 7 at 07:53

Круто, что это в принципе возможно, но, судя по конфигу, сломается любая логика, настроенная на конкретные ip-адреса или подсети клиентов, т.к. технически все коннекты к веб серверу и anyconnect станут идти с адреса хоста nginx. Как вы решили эту проблему?

RavilKR Oct 13 at 05:32

proxy_protocol on; в кофиге nginx

И похожий параметр на сервере, тогда сервер увидит реальные адреса

swshoo Oct 7 at 12:38

для НЕлюбителей у ручную писать конфиги для nginx, можно поставить в контейнере Nginx Proxy Manager. Вполне стабильно работает, но памяти отжирает прилично. Настройка доступа к опубликованным ресурсам по логин-пасс / ip присуствует.

werter_l Nov 3 at 16:25

Тогда уж лучше сразу с WAF

https://docs.openappsec.io/integrations/nginx-proxy-manager/deploy-nginx-proxy-manager-with-open-appsec-managed-from-npm-webui

swshoo Nov 3 at 23:44

наверное лучше, но не уверен, что на микрот можно установить. пробовал поставить ?

werter_l Nov 4 at 07:21

Всему свое место и докеры у меня в lxc на pve прекрасно себя чувствуют.

buldo Oct 7 at 20:58

Мне кажется, что на haproxy такое куда проще реализовать

sham2016 Oct 26 at 16:28

Спасибо за статью. Давно хотел поинтересоваться. А вот дружба микротиков и контейнеров ее можно только на железе попробовать реализовать? Или в виртуальной CHR тоже такое возможно?

Onegai Oct 27 at 00:18

На CHR тоже можно. Контейнеры поддерживаются на ARM и x86