SSL para conexão encaminhada IPv4 sobre IPv6

Navegue suas respostas
2

em relação a essa pergunta, há a seguinte configuração de rede. Em casa há um cubieboard rodando um servidor Apache atrás de mim roteador. O problema é que o meu provedor só me dá um endereço IPv6 e usa o DS-Lite para conexões IPv4 de saída.

Então, ao tentar se conectar a partir do IPv4 (porque o IPv6 ainda não é comum), fiz uso do meu servidor raiz, que tem um endereço IP estático, para encaminhar a solicitação para o meu cubieboard sobre o IPv6.

Eu registrei meu próprio domínio e no cubieboard há um script para sincronizar o domínio com o endereço IPv6 que muda diariamente do meu ISP.

No meu servidor raiz, há um processo socat em execução para escutar na porta X [IPv4] e encaminhá-lo para meu domínio na porta Y [IPv6].

Enquanto isso funciona perfeito e eu posso acessar meu cubieboard do IPv4 eu não sei como configurar o SSL com o meu servidor apache no cubieboard para que eu possa acessá-lo com SSL através desta conexão IPv4 para IPv6.

Eu já possuo um certificado SSL do Let's Encrypt, que pode ser criado no Cubieboard, pois o Let's Encrypt suporta somente domínios IPv6. Mas como esse domínio está conectado apenas ao endereço IPv6, não posso simplesmente usar isso no navegador, onde só tenho o IPv4. 

                      socat
                      localhost:1234[v4] to
-------------------   mydomain.com:80[IPv6]    -------------------------
| cubieboard IPv6 |  <-----------------------> | root server IPv4/6    |
| apache port 80  |                            | socat Port 1234[Ipv4] |
-------------------                            -------------------------
        ^
        |
---------------------
| SSL certificate   |
| mydomain.com IPv6 |
---------------------
    
por Christoph Korn 15.02.2017 / 17:04

1 resposta

0

Sua configuração SSL deve funcionar na maior parte da configuração de rede que você possui. O TLS (o nome atual do SSL) não se importa se está sendo executado através de IPv4 ou IPv6, ou se é traduzido entre os dois.

Um problema no qual você pode entrar é que as implementações de TLS verificam o nome do host que você digitou no certificado. Portanto, se você se conectar ao link , provavelmente receberá o certificado mydomain.com, que o navegador considerará inválido.

Para resolver esse problema, você pode adicionar o endereço IPv4 do seu servidor-raiz à entrada DNS de mydomain.com. Dessa forma, você pode se conectar ao link e o nome do host coincidirá. A desvantagem disso é que vamos criptografar pode começar a falhar, uma vez que ele irá se conectar à porta TCP 80 em mydomain.com, que pode acabar em seu servidor raiz (e não sendo encaminhado).

PS: Eu tive que obscurecer os links por causa das regras do superuser.com. Minhas desculpas

    
por 12.09.2017 / 16:57

Tags

Obtenha o Google Chrome para mostrar todos os endereços de e-mail Como desativar imagens de WebP no Chrome?