Статус: Участник
Группы: Участники
Зарегистрирован: 11.08.2020(UTC) Сообщений: 11  Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Добрый день, развертываем NGATE Крипто-Про в тестовой среде. Делаем все по инструкции , не очень понятно как реализовать следующих функционал. Опишу кейс. Инфраструктура: 1) Шлюз ngate с внешним адресом на который можно попасть из интернета используя ДНС имя www.exmple.com2) В локальной сети в которой находится ngate есть веб сервер nginx публикующий страницу по адресу http://192.168.0.1543) Внешние пользователи в своих браузерах (с поддержкой ГОСТ шифрования) должны переходить на адрес https://example.com и им должна отображаться страничка публекумая на http://192.168.0.1544) Ни какие сертификаты и прочие средства атентификации не используются, все кто знает адрес example.com могут к нему подключится с ГОСТ-TLS шифрованием и увидеть Страничку опубликованную на nginx в локальной сети. 5) Ни каких локешнов в адресе не добавляется, https://example.com сразу должно отправлять на сьраничку в сети. Т.е. реверс-прокси всего корня (/) дальше на страничку на nginx. По факту ngate используется как терминатор TLS по ГОСТ шифрованию и реверс прокси. Как настроить такой прозрачный проброс к ресурсу внутри сети?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.11.2013(UTC) Сообщений: 75   Откуда: Тирана Сказал «Спасибо»: 3 раз
Поблагодарили: 13 раз в 12 постах
|
|
|
 1 пользователь поблагодарил Николай Батищев за этот пост.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Добрый день.
Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.08.2020(UTC) Сообщений: 11 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Автор: two_oceans  Добрый день.
Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка.
Конечно усложняю, но не я, а наше государство с их требованиями=) Первоначально мы через nginx делали гост-tls но для прохождения всех кругов ада нам необходимо именно "сертифицированное" решение из реестра разрешенных =) Вот и мучаемся =)
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.08.2020(UTC) Сообщений: 11 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Автор: Nikolay Batischev Инструкция хорошая , сделал как в ней сказанно. При попытке опубликовать конфигурацию получаю вот: " Ошибка при сборке конфигурации: Неладно что-то со служебными ключами. Пожалуйста, удостоверьтесь в том, что ключи созданы и распространены, прежде чем публиковать конфигурацию. " Что за служебные ключи? Куда и как их распространять?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.08.2020(UTC) Сообщений: 11 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Автор: two_oceans Добрый день.
Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка.
И про реверс прокси , это задел на будующее... Так как сейчас один ресурс , а потом начнется... А железяку недешовую уже купили =) Но для начала просо понять как делать вот такой проброс было бы замечательно. В принципе с вопросом я по инструкции разобрался, а вот с публикации конфигурации возникли трудности.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,452 Сказал «Спасибо»: 53 раз
Поблагодарили: 793 раз в 732 постах
|
Автор: psyd01986 Автор: Nikolay Batischev Инструкция хорошая , сделал как в ней сказанно. При попытке опубликовать конфигурацию получаю вот: " Ошибка при сборке конфигурации: Неладно что-то со служебными ключами. Пожалуйста, удостоверьтесь в том, что ключи созданы и распространены, прежде чем публиковать конфигурацию. " Что за служебные ключи? Куда и как их распространять? Здравствуйте. В случае, когда используется вариант Complete, нужно просто создать служебные ключи. См. здесь. |
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.08.2020(UTC) Сообщений: 11 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Всем спасибо за помощь.
После генерации сервисных ключей, конфигурация опубиковалась.
Один момент узнал у технической поддержки:
Если использовать просто "TLS Offload" для доступа к порталу и ресурсам, то необходимо создавать веб-ресурс "/", но не включать опцию "сингл веб" , эти две вещи несовместимы.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
