openwrt 配合docker nginx反代，防火墙应该如何设置？

sbl***

前几天编译op经常折腾op，就把拨号什么的都放在了ikuai上。1. 最近发现ikuai搞什么云服务和挖矿，个人看法应该是ikuai打算收割免费用户吧，比较抵触，决定不再用ikuai了
2. 回归到单路由配合容器服务。

重新调整了下网络结构，目前如下：



op单路由，负责拨号和不可描述，内网网段10.10.10.x
ADG服务容器做DHCP和DNS本地服务；
添加了一台proxy的服务容器，装了docker和nginx(docker版)，创建了bridge网络（172网段）。

目前内网下，10网段各设备和172 docker虚拟网段互ping是ok的。

我现在想把172网段映射出去，nginx服务监听，并实现这样的内网转发效果
A.domain.com ---------> 10.10.10.1:80
B.domain.com ---------> 10.10.10.2:80
C.domain.com ---------> 10.10.10.2:23456
...

我目前在op的防火墙 - 端口转发 设置里，简单的把转发规则配置到proxy服务器地址（10.10.10.8），貌似所有流量都被转到了proxy，我其实想让.8这台机器只监听配置好的子域名地址然后转发到内网地址，想请教下内网转发和防火墙应该如何配置呢？？

万谢！

天天***

我是用“nginx-proxy-manager”这个容器，申请SSL证书和反向代理都可以搞定
人生观大佬的教程——NginxProxyManager-------一个非常优秀的免费反向代理服务器。

jc21/nginx-proxy-manager
是原创，文件比较大

jlesage/nginx-proxy-manager



文件小一点，我正在用




docker run -d \    --name=nginx-proxy-manager \    -p 8181:8181 \    -p 8080:8080 \    -p 4443:4443 \    -v /docker/appdata/nginx-proxy-manager:/config:rw \    jlesage/nginx-proxy-manager

sbl***

天天顺心 发表于 2021-1-18 15:58
我是用“nginx-proxy-manager”这个容器，申请SSL证书和反向代理都可以搞定
人生观大佬的教程——NginxPro ...

感谢回复，我用的官方源，感觉你推荐的是多了个带GUI的前端后台，有机会试试，不过并不是重点。
我现在情况是，内网映射出去了，内网访问是ok的，但是外网访问有问题
我家宽带是电信的。
连接路由器访问也可以。


但是模拟远程访问（电脑连手机热点）就访问不到



但是在远程网络下，ping地址和dig命令，看结果都正常（方便调试还没有禁ping）



目前openwrt端口转发是这样配的

3d***

先看ip能不能到路由器，公网是否通。再看域名是否解析ok，域名是否支持泛域名。另外没必要所有端口都映射到nginx的80吧。

天天***

sblook 发表于 2021-1-18 17:02
感谢回复，我用的官方源，感觉你推荐的是多了个带GUI的前端后台，有机会试试，不过并不是重点。
我现在 ...

你能够 Ping 通自己的域名说明 DDNS 和云解析没问题，应该是反向代理的设置有问题吧，看看网络区段  172.*.*.*  是容器自身的吧，你的局域网也是 172 的吗？

其实我就是个小白，NGINX 是不会写的，全靠谷歌翻译“Nginx Proxy Manager”界面进行的傻瓜化设置，搞定了Let’s Encrypt 域名证书申请 ,反向代理 和 单端口多服务，你也可以试试看

3d***

docker bridge 网络的话，其他局域网机器应该是和172网段不通的，op里面配静态路由，访问172网段是网关指向docker的宿主机ip

sbl***

3dudu 发表于 2021-1-18 17:38
先看ip能不能到路由器，公网是否通。再看域名是否解析ok，域名是否支持泛域名。另外没必要所有端口都映射到 ...

感谢回复，公网是通的
登录到docker终端，ping baidu.com都是通的


解析是没问题的


至于nginx映射到80，前期调试先用默认的80比较方便，其实我个人认为caddy更适合，无奈caddy的配置更少一些，用nigix其实配置ssl感觉比caddy更麻烦一些，我想先把外部环境的配置都正确后，再考虑把nginx换到caddy上去

sbl***

3dudu 发表于 2021-1-18 17:49
docker bridge 网络的话，其他局域网机器应该是和172网段不通的，op里面配静态路由，访问172网段是网关指向 ...

不会啊，我搜索了解的资料，应该是bridge和vlan的区别就是能和宿主机ip连上的话，就能访问到虚拟网段的ip，实际也是局域网内ip都能访问到虚拟网段ip。截图就是imac局域网ip 10.10.10.130，能访问到nginx的虚拟网段ip

天天***

试试看：

1、openwrt 里面配置 静态路由，访问 172.17.0.* 网段的网关，指向 docker的宿主机PVE 的 ip 如 “ 10.10.10.10”，保证网段互通；

2、 docker 容器的网络设置成 Host 主机模式看看，恐怕很容易出问题的。

lu***

我遇到是我只有ipv6是公网的，这个nigxn proxy mange应该怎么反代么？

wan***

楼主解决了吗，遇到同样问题

sur***

天天顺心 发表于 2021-1-18 17:44
你能够 Ping 通自己的域名说明 DDNS 和云解析没问题，应该是反向代理的设置有问题吧，看看网络区段  17 ...

nginx-proxy-manager”这个容器，支持IPv6的反向代理吗？

比如IPv4的网站 ipv4web.com（只有Ipv4地址）
我想用域名 ipv6web.com(只有IPv6地址) 代理 ipv4web.com

sur***

天天顺心 发表于 2021-1-18 15:58
我是用“nginx-proxy-manager”这个容器，申请SSL证书和反向代理都可以搞定
人生观大佬的教程——NginxPro ...

nginx-proxy-manager”这个容器，支持IPv6的反向代理吗？

比如IPv4的网站 ipv4web.com（只有Ipv4地址）
我想用域名 ipv6web.com(只有IPv6地址) 代理 ipv4web.com

kmh***

wangkai 发表于 2022-5-25 16:10
楼主解决了吗，遇到同样问题

兄弟你的是什么情况？现在搞好了吗？
我也一样问题
目前光猫拨号并转发443端口到openwrt上，openwrt是旁路由，
局域网内能正常访问反代的域名，如openwrt.XXX.com，但手机4g网路或者连其他WiFi的就不行。
难道要光猫桥接才行吗？线路受限，不想搞单臂路由

proje***

kmh822 发表于 2022-6-15 06:48
兄弟你的是什么情况？现在搞好了吗？
我也一样问题
目前光猫拨号并转发443端口到openwrt上，openwrt是 ...

兄弟你搞好了吗？我想用nginx反代openwrt配置页面和alist，但是局域网内都不行