Найти в Дзене
Wissance
675 подписчиков

Когда вдруг HTTP(S) сайты стали недоступны

3
1 мин
То о чем я хочу рассказать является, возможно, специфичной штукой, а, возможно, и нет для опытных сетевых инженеров. Как известно из наших постов мы создали свой дата-центр и разместили в нем как свое оборудование, так и чужое (да, у нас можно заказать Colocation в Екатеринбурге). Одну группу наших серверов мы убрали за роутер Mikrotik при этом ряд портов мы открыли и настроили правила проброса портов (стандартная история), при этом у нас много виртуальных машин с различными развернутми на них приложениями для экспериментов, более точно ситуация такая: Упрощенная схема показана ниже Данная схема не представляет чего-то оригинального, но ключевым фактом во всей этой схеме является использование 443 порта на устройстве Mikrotik для проброса в 443 порт Gitlab на Физическом сервере 1. Это и является проблемой, которую я словил на всех машинах, а выглядит это так: В Браузере это выглядит как невалидный сертификат, при переходе игнорируя проблемы с сертификатом, я попадаю на свой Gitlab! По
Оглавление
Mikrotik где доступ к HTTPS из LAN за NAT
Mikrotik где доступ к HTTPS из LAN за NAT

Mikrotik это что за дела, вы вообще нормальные?

То о чем я хочу рассказать является, возможно, специфичной штукой, а, возможно, и нет для опытных сетевых инженеров. Как известно из наших постов мы создали свой дата-центр и разместили в нем как свое оборудование, так и чужое (да, у нас можно заказать Colocation в Екатеринбурге). Одну группу наших серверов мы убрали за роутер Mikrotik при этом ряд портов мы открыли и настроили правила проброса портов (стандартная история), при этом у нас много виртуальных машин с различными развернутми на них приложениями для экспериментов, более точно ситуация такая:

  • на виртуальной машине / сервере развернут Gitlab с настроенным HTTPS на 443-порту, этот же порт пробрасывается на Mikrotik
  • на сервере где установлен Gitlab имеется 4 виртуальных машины, на которых развернуты приложения и которым требуется доступ в интернет для загрузки пакетов приложений (npm, pip и т.п.)

Упрощенная схема показана ниже

Примитивная схема (какая, вероятно, есть у многих)
Примитивная схема (какая, вероятно, есть у многих)

Данная схема не представляет чего-то оригинального, но ключевым фактом во всей этой схеме является использование 443 порта на устройстве Mikrotik для проброса в 443 порт Gitlab на Физическом сервере 1. Это и является проблемой, которую я словил на всех машинах, а выглядит это так:

Вот так! Ходишь в школу и тут бац вторая смена!
Вот так! Ходишь в школу и тут бац вторая смена!

В Браузере это выглядит как невалидный сертификат, при переходе игнорируя проблемы с сертификатом, я попадаю на свой Gitlab!

Поскольку на разных машинах одно и тоже, то это проблемы не отдельных машин, а проблемы маршрутизации.Ранее работая с TP-Link'ами я был очень доволен, это же первый опыт работы с Mikrotik и вот такая засада!

Что же делать с этим Mikrotik'ом

Само осознание проблемы того, что прроблема где-то в Mikrotik еще не достаточно для ее решения, поэтому нужно каким-то обазом ее решить, перелазив весь Mikrotik вдоль и поперек я не нашел каких-то специфичных настроек, которые бы отвечали за HTTPS или SSL, значит проблема была более простой и фундаментальной. Я уже ранее писал, забегая вперед, что проблема с 443 порту и что он разрешен на Mikrtok, как только я выключаю

Опечален, что не могу использовать 443 за NAT
Опечален, что не могу использовать 443 за NAT

С грустью я выключил это правило и вуаля:

Теперь все работает как надо
Теперь все работает как надо

Заключение

Mikrotik является довольно популярным устройством и тем не менее не могу понять что за х#@9I ? Не хочу говорить, что Mikrotik делает плохие девайсиы, это не так, но я потратил достаточно много времени, чтобы понятьпроблему, надеюсь мой горький опыт поможет сэкономить вам время.

Гаджеты и электроника
5,73 млн интересуются