在群晖通过 docker 部署的 bitwarden 能不能有两套 SSL 证书

177 天前
 itskingname

背景

  1. 群晖有外网 IP 。通过 DDNS 绑定了域名。这个域名自带 SSL 证书。
  2. 因为一些原因,家里的路由器不能设置 loopback ,导致在家里使用外网 IP 不能访问 bitwarden.

问题

在家里不能通过 DDNS 的域名来访问 bitwarden ,因为没有 IP loopback 导致连不上。但当我使用 192 这个路由器的内网 IP 时,由于不是 https 链接,bitwarden 客户端拒绝链接。

请问有没有办法给内网的 bitwarden 单独设置一个 ssl 证书,内网通过 IP 访问的时候走这个证书,外网通过域名访问的时候走 DDNS 域名自带的证书?

我也尝试过在群晖上面设置一个 DNS 服务器,在家里的时候,内网优先使用这个 DNS 服务器,直接把域名解析到内网 IP 。在外面的时候,走正常的公共 DNS 服务器,于是就能连我的群晖外网 IP 。但不知道是不是设置有问题。电脑设置了群晖的 DNS 服务器以后,解析域名出来还是外网 IP 。

2271 次点击
所在节点    NAS
39 条回复
feaul
177 天前
我用的是 frp,内外网都没有问题
huang86041
177 天前
我是在路由器里面加入 host 解决了。网址指向内网 IP 地址
sekisui
177 天前
路由器直接挟持域名 包括 hosts 等等
FrankAdler
177 天前
应该是你设置错了,dns 直接解析到群晖上是绝对可以的,那么多人这么用呢
r6cb
177 天前
路由器装个 AdGuard Home ,把 ddns 的域名解析成内网 ip ,ddns 用外网 ip 。这样在家里连上路由器就是用内网 ip ,到外面用公共的 dns 解析出来就是外网 ip
charley008
177 天前
没有公网 ip ,用的是 ipv6.然后通过控制面板-登录门户-反向代理服务器解决
povsister
177 天前
路由器不支持 hairpin ?
benjaminliangcom
176 天前
我用的 vaultwarden + traefik + let's encrypt 自动配置证书。
我家里面有一个 DNS 服务器( Adguard home ),在家里面会解析为 traefik 内网 IP ,在外面用外网 IP ( FRP 的 IP )。
VaultWarden 本身就需要依靠反代实现 https ,所以不算增加了复杂度。
alfawei
176 天前
ltkun
176 天前
路由器 dns 劫持肯定是 OK 的
可以考虑换个路由器
Autonomous
176 天前
本地 DNS 重写可解
wheat0r
176 天前
优先用 DNS 解决问题
备选 NAT Hairpin
lm930129
176 天前
@royking930911 acme 可以申请泛域名证书,自动续期
cnhongwei
176 天前
群晖自己本来就使用的是 nginx ,你 ssh 上去,把你的 nginx 配置文件放到 /etc/nginx/sites-enabled 这个目录中就行了,你自己想怎么发挥都可以,我就是 docker 启动很多服务,使用 nginx 反代出去 10 几个服务。证书你可以使用 let's encrypt ,自动更新方法也很多,我因为是 vps 上有自动更新,所以是使用定时任务同步回来的,定时任务我是直接编辑 /etc/crontab 来实现的。
cnhongwei
176 天前
没有必要设置 dns ,因为有些浏览器不使用设置的 dns ,而使用自己设置中的 dns ,所以最好就是内、外网使用不同的域名,通过 nginx 反代。
z5238384
176 天前
之前我也是直接在路由器上设置静态 dns 记录,后面因为 clash 用起来及其麻烦,经常出现莫名其妙的问题,最后还是路由器上设置一条 loopback ,建议能直接 loopback 别折腾了,明明就加一条 NAT 记录的事情, 你搞来搞去,整一堆麻烦事
itskingname
174 天前
@ltkun
@povsister

因为现在使用光猫拨号,路由器桥架模式接光猫。要加 loopback 需要在光猫上改。我已经找到工作人员要到超级管理员密码了。但是光猫上面没有没有改 loopback 的地方。
@z5238384
z5238384
174 天前
@itskingname 你真有做 NAT 环回的需求 建议 就放弃光猫播号, 非常不推荐你用 dns 来实现 。 最痛苦的问题哪怕你设置都正确,各设备 DNS 缓存的问题 也会让你的体验相当糟糕,尤其是手机这种经常在移动网络和局域网 wifi 之间经常切换的设备,如果你还是考虑科学上网问题,基本上需要你每个设备都要单独设置,同时如果你如果想用一个域名访问内网多个设备,dns 这种方式会让你抓狂,足够让你喝几壶 。 没有更比一条源 NAT 记录 更简单 稳定的方式了,这样代价仅仅是让局域网设备之间互相访问多多一次 NAT 而已,没有什么其他更好选择,以上 亲身经历 。
itskingname
174 天前
@z5238384 理论上确实是这样。把光猫改成桥接,把路由器改成拨号。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1043474

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX